북한 정찰총국 산하 해커조직 ‘안다리엘’은 올해 초 국내 자산운용사들을 대상으로 문서중앙화 서버를 해킹한 뒤 서버에 암호를 걸고 “돈을 주면 암호를 풀어주겠다”고 협박했다. 자산운용사들은 서버에 있는 데이터에 대한 백업 파일이 있어 돈 요구에 응하진 않았다. 하지만 그 대신 해당 서버를 버려야 했다. 금융권 관계자는“예전 해커들이 무차별 공격에 나섰다면 올해 들어선 보안이 취약한 금융사들을 타깃으로 집중 공격하는 방식으로 바뀌었다”고 말했다.
국내 금융업권의 해킹으로 인한 정보유출 피해자가 지난해 5명에서 올해는 6월 기준 3142명으로 급격히 늘어나는 등 금융권도 해킹 위험에 노출되어 있는 것으로 나타났다. 국민의힘 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 국내 금융업권의 해킹 사고는 지난해 4건, 올해도 6월까지 4건이다. 하지만 지난해에는 해킹 시도에도 정보 유출 피해가 적었던 것과 달리 올해는 새어 나간 개인정보가 급증했다. 올해 해킹 침해 사고가 발생한 금융회사는 △iM뱅크 △노무라금융투자 △KB라이프생명보험 △한국스탠다드차타드은행이었다.
2020년∼2025년 6월까지 약 6년 동안을 따져 보면 해킹으로 인한 정보 유출이 가장 많이 발생한 업권은 △저축은행(3만6974명) △증권업권(1만883명) △생명보험업권(2673명) △은행업권(474명) 순이다. 이는 금융당국에 보고 의무가 있는 은행, 증권사, 보험사, 카드사 등의 해킹 사례만 집계된 수치다. 당국 보고 의무는 없지만 최근 해킹 피해가 있었던 자산운용사, 법인보험대리점(GA)까지 포함하면 관련 수치는 크게 늘어날 것으로 보인다.
강 의원은 “금융당국이 금융사의 보안위협 대응 수준을 상시 감시하기 위한 통합관제체계를 조속히 구축하고 주기적으로 금융회사 대상 IT 상시협의체와 간담회를 실시하는 등 활동을 강화해야 한다”고 강조했다.
새 정부는 정보보안 관련 금융사의 책임을 엄격히 묻는 금융정책을 예고했다. 이재명 대통령은 “반복되는 보안사고 책임 떠넘기기를 근절하겠다”며 금융보안 의무 위반 등으로 금융보안사고 발생 시 징벌적 과징금을 부과하겠다고 공약했다.
정보보안에 대해 이사회의 책임을 강화하는 내용의 전자금융감독규정 개정안도 8월 5일부터 시행된다. 개정안은 회사의 정보보호최고책임자(CISO)가 이사회에 전자금융거래의 안전성과 신뢰성에 중대한 영향을 미치는 사안을 보고하도록 규정했다.
금융권 관계자는 “금융사들도 정보보안 관련 양질의 전문가들을 두고 예산을 투자해야 한다”고 강조했다.
전주영 aimhigh@donga.com
About Dong-A Ilbo