금융사 전자금융 사고 최근 5년간 1506건 발생…금융사 10개 중 8개 정보기술수준 3등급 그쳐

북한의 해킹 기술이 갈수록 지능화되고 있으나, 국내 금융사의 10개 중 8개가 사이버 공격에 취약한 것으로 드러났다.

17일 자유한국당 김선동 국회의원이 금융감독원으로부터 제출 받은 자료에 따르면 최근 5년간 국내 금융회사에서 1506건의 전자금융 사고가 발생했다.

그러나 금융감독원 정보기술 실태평가결과 금융회사 10개 중 8개는 즉각적인 시정을 필요로 하는 다양한 취약점을 내포한 '3등급'을 받은 것으로 나타났다.

금융감독원이 제출한 자료에 따르면 해킹으로 인한 정보유출, 디도스(DDoS) 공격, 홈페이지 위변조, 악성코드감염 등 악의적인 범죄가 지속적으로 발생하고 있다. 올해만 해도 21건이 발생해 지난해 대비 3.5배 증가했다.

프로그램 오류, 시스템 장애, 전산설비 관련 장애 등으로 인해 10분 이상 시스템이 지연·중단되거나 전산자료 또는 프로그램 조작에 의한 금융사고도 한해 평균 300여건 발생했다.

김선동 의원은 금융회사 전자금융사고는 1건만 터져도 수천만 건의 개인정보가 유출되는 2차 피해로 이어져 사건이 일파만파 커진다는 특수성이 있다고 짚었다.

실제로 올해 북한해커가 현금자동입출금기(ATM)를 해킹해 24만건의 금융정보를 빼돌려 신용카드로 복제한 뒤 현금인출 등을 이용해 총 1억3000만원(302건)의 피해가 발생했다. 지난 7월에는 20대 해커가 3300만건의 개인정보를 빼돌렸는데 투자선물회사 개인정보 30만건이 포함되기도 했다.

김 의원은 "상황이 이런데도 금융보안원이 실시하는 금융회사 사이버공격 대응훈련 결과를 보면 아무런 문제없이 정상수행을 한다고 발표하고 있다"고 비판했다.

최근 3년간 453개 금융회사에 대한 디도스, 해킹, APT공격 훈련을 했는데 전 회사에서 '정상수행하고 있다'는 결과가 나온 것.

김 의원은 "금융보안사고와 정보기술사고가 1506건이나 발생되고 있고, 실제 해커공격으로 금전적 피해가 발생하고 있는데 훈련결과는 정상이라는 한다면 하나 마나 한 훈련을 하고 있다는 것"이라고 꼬집었다.

금감원이 매년 시행하는 금융회사 정보기술부문 실태평가도 금융회사의 개선노력을 끌어내지 못하고 형식적으로 운용되고 있다고 김 의원은 지적했다.

금감원은 최근 5년간 총 87번의 금융사 정보기술부문 실태평가를 했는데 최우수(1등급)와 최하위(5등급)는 0건이었고, 80%가 보통 등급 수준인 3등급에 머무르고 있다.

평가규정의 3등급이 의미하는 바는 '전자금융업무와 정보기술부문 전반에 걸쳐 즉각적인 시정을 요하는 다양한 취약점을 내포하고 있어 이를 시정하기 위해 통상적인 수준 이상의 감독상 주의가 요구됨'이다.

이 와중에 북한의 해킹 기술은 날로 지능화되고 있어 금융사의 보안이 우려되고 있다.

북한 해커들은 작년 2월 방글라데시 중앙은행 계좌를 해킹해 8100만 달러를 빼돌리고 1년 사이에 세계 30여개국 100여개 이상의 금융기관을 공격한 바 있다.

김선동은 "북한 해킹 기술이 갈수록 지능화, 집단화되고 있는데 금융회사 전자금융기술 수준은 3등급, 삼류실력에 머무르고 있고 금감원 평가도 유명무실한 상태로 이런 상황을 방치한 금감원의 책임이 특히 크다"며 "금감원의 존재이유가 금융시스템 안정성 유지·감독인 만큼 정보기술 역량을 강화할 수 있도록 평가제도를 개선해야 한다"고 강조했다.