감사원은 지난해 11~12월 미래창조과학부와 안전행정부, 금융위, 금감원 등을 대상으로 '금융권 정보보호 및 사이버안전 관리·감독실태'를 감사한 결과 이 같은 사실을 적발했다고 17일 밝혔다.
감사원에 따르면 금감원은 2011년 농협전산망 마비 사고에 이어, 2013년 3·20 및 6·25사이버테러 등으로 경제·사회적 혼란이 야기됐음에도 관련 규정에 따른 정보기술(IT) 부문 주요 검사 대상 금융회사 144곳(2012년 기준) 가운데 26곳(18.0%)에 대한 IT 부문 검사를 실시하지 않았다.
그나마 검사를 받은 금융사들도 '전자금융감독규정'의 사이버안전 관련 30개 조항 중 '해킹 방지대책'이나 '홈페이지 등공개역 웹서버 관리대책' 등 15개 항목을 검사항목에 반영하지 않거나 부실 반영했던 것으로 드러났다.
금융위 역시 2012년 2월 감사원으로부터 '금융사들이 기본적인 보안규정도 지키지 않아 보안에 취약하다'는 통보를 받고도 금감원의 관련 검사에 대한 감독 업무를 소홀히 했던 것으로 파악됐다.
이에 따라 감사원은 "각 금융사에서 발견된 취약점 개선 방안을 마련하고 관련 규정을 위반한 금융사 및 담당자에 대한 제재 조치를 취하라"고 최수현 금감원장에게 통보했다. 또 신제윤 금융위원장에게도 "금융사의 보안기준 준수 여부에 대해 금감원이 제대로 검사·점검하는 철저히 감독하라"며 주의를 요구했다.
또 이용자 몰래 요금을 빼가는 휴대폰 소액결제 사기가 기승을 부리고 있는 가운데, 미래창조과학부가 이를 사실상 방치해 온 것으로 나타났다. 감사원에 따르면 결제대행업체(휴대폰 소액결제)를 관리·감독하는 미래부는 6개 소액결제 업체가 미등록 상태로 최대 5년에 걸쳐 불법영업을 하는데도 이를 파악조차 못하고 있었다.
특히 미래부는 자동결제, 무료이벤트, 회원가입 즉시 결제 등 불법 콘텐츠제공업체들의 결제사기로 인한 피해액이 2010년부터 지난해 9월까지 46억여 원에 달하는데도 소액결제 업체와 콘텐츠제공업체 사이의 서비스 제공은 자율에 맡겨야 한다는 이유로 이를 방치했다.
아울러 미래부는 문자메시지(SMS) 인증번호를 탈취해 이용자 몰래 돈을 빼가는 '스미싱' 피해가 급증하는데도 오히려 소액결제 업체의 편의성을 최대한 보장한다는 이유로 인증절차 강화에 소홀했다.
한편 이번 감사는 카드사의 개인정보 대량유출 사고가 발생하기 전 농협, 신한은행 등 금융권 해킹사고가 잇따른 데 대한 점검차 실시됐다. 카드사 개인정보 유출사고와 관련해서는 올해 초 공익감사청구가 접수됨에 따라 지난달 12일부터 이달 11일까지 금융위, 금감원 등을 대상으로 금융당국의 관리·감독 및 금융사 개인정보 수집·관리·활용의 적정성 등에 대한 감사를 실시해 현재 결과를 처리 중이다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]