금융당국이 금융보안 확보 의무 소홀로 해킹 피해가 발생한 금융회사에 대해 징벌적 과징금 부과를 추진한다. 최근 SGI서울보증이 랜섬웨어 공격을 받아 보증 업무가 중단되는 등 사회적 여파가 컸던 만큼 금융권의 보안 위기감이 어느 때보다 고조되고 있다.

금융위원회는 30일 ‘금융권·금융 공공기관 침해사고 대비태세 점검회의’를 열고 “보안체계 미흡으로 중대한 보안사고 발생시 징벌적 과징금 부과 등 금융회사가 적극적으로 보안 역량을 강화하고 침해사고 대비태세를 구축해 나갈 수 있는 제도적 개선방안을 검토하기로 했다”고 밝혔다.

이 밖에도 최고 정보보안 책임자(CISO)가 주도적으로 보안강화를 할 수 있도록 CISO의 권한 강화와 금융권 침해 위협정보를 체계적으로 관리·전파하는 ‘통합관제시스템’의 조속한 구축 등을 추진할 계획이다.

금융위는 디지털금융보안법(금융보안법) 제정을 위해 지난해 금융보안원을 통해 ‘디지털 금융보안에 관한 입법 방안 연구’를 진행했다. 연구보고서는 금융보안 위반과 관련해 금융회사 전체 매출액의 100분의 3, 최대 200억원에 해당하는 금액을 징벌적 과징금으로 부과하는 안을 제시했다.

현재는 금융보안사고 발생시 전자금융거래법(전금법)에 따라 ‘거래정보 누설’에 대해서만 최대 50억원의 과징금을 부과할 수 있다.

금융위와 금감원은 SGI서울보증 사태가 금융권에서 재발하지 않도록 금융권 보안강화를 위한 후속 조치를 추진하기로 했다.

먼저 전자금융서비스를 제공하는 금융 공공기관과 금융회사, 전자금융업자를 대상으로 랜섬웨어 등 침해사고 대비태세에 대한 자체점검을 실시할 예정이다.

각 금융회사와 금융 공공기관에 자체점검표를 배포해 내달까지 자체점검 및 보완을 진행하도록 조치하는 한편, 각 기관의 점검결과를 분석해 필요시 금융회사 등이 보안강화 조치를 취할 수 있도록 안내·지원할 계획이다.

금감원은 자체점검 결과 등을 참고해 9월부터 금융회사를 직접 점검하기로 했다. 최근 피해사례가 증가하는 랜섬웨어에 대한 대응체계와 전산장애 발생시 복구를 위한 백업현황 등을 중점적으로 점검해 유사사고에 대한 대비태세가 갖추어져 있는지 확인할 계획이다.

금감원과 금융보안원은 합동으로 금융권 전체를 대상으로 9월부터 블라인드 모의해킹도 실시하기로 했다.

블라인드 모의해킹은 해킹 시도 일시 및 대상 금융회사를 사전에 알리지 않고 불시에 해킹을 시도하는 것이다. 모의해킹을 통해 각 금융회사의 해킹에 대한 방어체계가 잘 동작하는지, 보완할 점은 무엇인지를 확인해서 금융회사의 보안수준을 강화할 수 있도록 지원한다는 계획이다.

김동환 금융위 디지털금융정책관은 “최근 IT 기술 발전 등에 따라 해킹 수법이 대담하고 치밀해지고 있어, 대형 IT 기업 뿐 아니라 SGI서울보증 등 금융회사에까지 침해사고가 발생하는 상황”이라며 “금융권에 더 이상 유사한 침해사고가 발생하지 않도록 금융권 관계자들 모두 높은 경각심을 가지고 대비할 필요가 있다”고 말했다.

그는 “SGI 사례에서 보듯이 금융회사의 경우 작은 보안 실수만으로도 걷잡을 수 없이 큰 소비자 불편을 초래할 수 있으며, 이는 금융 신뢰성과도 연관되어 있는 만큼 금융안전에 있어서는 과하다고 생각될 정도로 빈틈없이 점검하고 보완해야 한다”고 강조했다.

한편 이날 회의에서 금융보안원은 SGI서울보증 침해사고 조사·분석 과정에서 확인된 사고발생 원인과 랜섬웨어 분석을 통한 데이터 복구 과정을 설명하다.

금융보안원은 “다행히 이번 사고의 경우 복호화(암호해제)에 성공해 데이터를 손실 없이 신속하게 복구할 수 있었지만, 이는 매우 드문 경우로 랜섬웨어 사고에 대비해 실효성 있는 백업·복구 정책을 마련해 이행하여야 한다”고 말했다.

또 “VPN(가상 사설망) 등 외부에서 접근 가능한 시스템에 대한 취약점을 주기적으로 점검해 제거하고, 불필요한 네트워크 서비스 포트는 원천 차단할 필요가 있다”고 참석한 금융권 관계자들에게 당부했다.

이경기 기자 cellin@naeil.com