감사원 감사 결과 관할 당국이 사이버안전 등에 미온적인 태도로 일관한 것으로 드러났다.

사이버안전관리를 담당하는 주무부처인 미래창조과학부는 결제대행업체의 불법영업을 묵인했고, 금융당국은 정보보안 검사를 일부 증권사에 국한해 실시하는 등 총체적으로 부실한 관리·감독능력을 보였다.

감사원은 지난해 11~12월 미래부와 금융위, 금감원 등을 대상으로 ‘금융권 정보보호 및 사이버안전 관리·감독 실태’를 점검한 결과 총 18건의 부실사항을 적발했다고 지난 17일 발표했다.

감사원에 따르면 먼저 미래부는 결제대행업체들의 불법영업 행태를 파악조차 하지 못한 것으로 드러났다. 6곳의 결제대행업체들이 최대 5년 동안 미등록 상태로 영업을 해왔으나 미래부는 이들을 적발해 내지 못했다. 이 가운데 한 곳은 불법적으로 음란물을 유통하는 콘텐츠제공업체(CP) 11곳의 결제대행을 맡고 있었던 것으로 드러나 당국의 관리감독 태만이 극에 달했다는 지적이다.

미래부는 자동결제, 무료이벤트를 가장한 결제, 회원가입 즉시 결제 등 불법 CP들의 결제사기로 인한 피해액이 2010년부터 지난해 9월까지 46억여원에 달하는데도 소액결제 업체와 CP 사이의 서비스 제공은 자율에 맡겨야 한다는 이유로 이를 방치해 의도적으로 묵인한 것 아니냐는 의혹을 사기도 했다.

이뿐만 아니라 미래부는 문자메시지(SMS) 인증번호를 탈취해 이용자 몰래 돈을 빼가는 스미싱 피해가 급증하는데도 오히려 소액결제 업체의 편의성을 최대한 보장한다는 이유로 인증절차 강화에 소홀했던 것으로 밝혀졌다.

금융당국 정보보안 실태검사 기준도 없어

감사원은 금융당국의 금융사 관리·감독 역시 부실하게 운영되었다고 지적했다. 금융감독원의 경우 전자금융감독규정에 따라 금융사의 정보기술(IT)부문에 대한 검사 및 실태평가를 수행해 오고 있는데 대부분 부실 검사로 일관해온 것으로 파악됐다.

금감원은 금융사에 대해 몇 년마다 검사한다는 기준도 없이 일반업무 종합검사에만 IT실태평가를 한 것으로 나타났다. 이 때문에 보험개발원 등 46개사는 IT실태평가에서 제외됐고, 은행연합회 등 26개사는 IT검사에서 제외되는 등 최근 5년간 절반에 가까운 회사가 검사를 받지 않았다.

검사항목도 부실했다. 금감원은 전자금융감독규정에 의해 규정된 IT안전성 기준 30개 조항 중 15개 조항을 점검항목에 반영하지 않거나 일부만 반영하는 등 평가비중도 저조하게 운영한 것으로 드러났다.

금융당국의 부실한 관리·감독은 금융사의 안일한 보안의식으로 이어졌다. 스마트폰을 이용한 금융거래가 일평균 1조3천억원에 달하고 있지만 금융사의 애플리케이션 보안은 취약한 것으로 나타났다. 금융사의 주식거래, 스마트폰 뱅킹 등 72개 모바일 앱에 대한 점검 결과 38개 앱에서 위·변조 가능성이 상당하고, 소스코드 내 중요정보가 누출될 수도 있는 등 취약점이 확인됐다.

특히 감사원이 적발한 5개 금융사는 용역업체 직원 PC에 주요정보를 저장하거나 개발시스템을 통해 금융사 운영시스템에 접속하는 등 보안의식이 결여된 관리행태를 보인 것으로 파악됐다. 언제든 보안 사고가 발생해도 놀랍지 않을 상황인 셈이다.

감사원은 이번 감사결과와 관련해 미래부에는 소액결제 업체에 대한 관리·감독을 철저히 하라고 요구하고, 금융당국에는 금융사 IT부문에 대한 체계적인 검사방안을 마련하라고 통보했다. 또 금융위에 대해서는 기존 금융사 모바일 앱의 취약점을 보완하고 관련 규정을 마련토록 지시했다.