은행들 1년전 ‘디도스 대란’ 잊었나… 대비 허술

인터넷뱅킹 홍역 치르고도 금융당국 정보보호 권고안

지키는 은행 단 1곳도 없어 전산장애 꾸준히 증가

디도스(DDoS·분산서비스거부) 공격이 1년 만에 재발한 가운데 지난해 공격의 주요 타깃이었던 금융권의 대비는 여전히 허술한 상태인 것으로 드러났다.

지난해 청와대 등 국내외 26개 사이트를 마비시켰던 ‘7·7 디도스 대란’ 이후 금융감독원이 강화된 정보보호 권고안을 내놓았지만 은행 대부분이 이를 지키지 않고 있는 것으로 조사됐다. 지난해 금융권에서는 국민 신한 우리 하나은행 등 대부분의 주요 은행들이 디도스 공격 대상이 되면서 인터넷뱅킹이 지연되는 등 홍역을 치른 바 있다.

8일 금융감독원에 따르면 시중은행과 지방은행, 특수은행을 포함한 17개 국내 은행 가운데 정보보호 강화를 위한 권고안을 제대로 지키고 있는 곳은 한 곳도 없는 것으로 나타났다. 지난해 9월 금감원이 제시한 권고안은 각 금융사들이 최고정보보호책임자(CSO)를 임명하고 정보보호 전문 인력 및 예산을 전체 정보통신(IT) 관련 예산과 인력의 5% 이상 확보하도록 하는 것을 뼈대로 하고 있다.

특히 7개 시중은행 가운데 5개 국내 은행 모두가 정보보호 예산과 인력 모두 권고안에 미치지 못하는 것으로 조사됐다. 예산 권고안만을 지킨 은행 1곳과 인력 권고안을 충족한 은행 1곳은 외국계 은행이었다. 실제 국내 은행들이 차세대시스템 도입 등을 위해 쏟아 부은 IT 관련 예산은 1조3000억 원에 달했지만 이 가운데 정보보호를 위해 사용된 예산은 3.3%인 약 430억 원에 불과했다. 6개 지방은행과 4개의 특수은행 역시 단 한 곳도 권고안을 지킨 곳이 없었다.

금융당국의 권고안은 금융권이 자율적으로 지키도록 제시한 것으로 강제성과 구속력이 없다. 하지만 해외의 경우 정보보호 예산이 전체 IT 관련 예산의 7∼8%인 것과 비교하면 국내 은행들은 정보보호 대비가 미흡하다는 지적이다.

실제 지난해 디도스 대란 이후에도 전자금융 사고와 금융 전산 장애 등은 꾸준히 증가하고 있다. 지난해 8월 이후 전자금융 사고는 13건(2억2000만 원)으로 지난해 상반기(11건, 1억7000만 원)에 비해 늘었다. 지난해 상반기에는 한 건도 발생하지 않았던 인터넷뱅킹 지연 등 전산장애 역시 지난해 8월 이후에만 4건이나 발생했다. 특히 금융 전산장애는 거래량이 늘어나는 월말이나 월요일에 집중돼 인터넷뱅킹 접속량을 폭증시키는 방식으로 장애를 일으키는 디도스 공격에 여전히 취약한 상태인 것으로 나타났다.

이처럼 국내은행들의 정보보호 대비가 미흡한 것으로 드러나자 금감원은 앞으로 은행 평가 시에 사이버테러나 전산장애 대응 결과를 비중 있게 반영한다는 계획이다. 금감원 관계자는 “디도스 공격이 확대될 가능성에 대비해 각 금융사들의 대응체계를 재점검하는 등 비상대응체제를 가동하고 있다”며 “앞으로 금융사의 사이버테러 대응능력에 대한 검사를 강화해 금융사의 경영실태평가에 반영할 계획”이라고 말했다.

문병기 기자 weappon@donga.com