[미디어펜=류준현 기자] 이찬진 금융감독원장이 금융업권 전반에서 거듭 발생하는 개인정보 유출사고에 대해 "(금융사의) 보안 관련 투자가 굉장히 미미하다"며 "금융사가 보안 투자를 확대할 수 있도록 금융위원회와 함께 관련 법안을 조만간 제출할 예정이다"고 답했다.

이 원장은 21일 국회 정무위원회의 금감원 국정감사에서 이 같이 밝혔다. 여야 의원들은 이날 롯데카드 해킹사고 등으로 비롯된 금융사의 개인정보 유출 문제를 공론화했다. 

민병덕 더불어민주당 의원은 롯데카드의 개인정보 유출사고와 관련해 롯데카드의 총예산 대비 정보보호예산이 0%대에 불과하다는 점을 지적했다. 

민 의원은 "롯데카드를 보면 (총예산 대비 정보보호예산이) 0.3~0.5%다. 업계 최하위다"며 "(대주주인 MBK가) 단기 이익에만 몰두하고 있기 때문에 발생했을 것이다. 금감원에서 할 수 있는 최대 수준의 제재를 해야 한다"고 지적했다. 그러면서 "금감원이 총예산 대비 정보보호투자비율 기준치라도 제시할 필요가 있다"고 강조했다. 

이에 대해 이 원장은 "현재 금감원이 업권별로 지도 감독하는 부분에서 보안의 안전, 디지털 자산의 안전성과 보안 사고를 방지하기 위한 투자에 관한 부분을 지속적으로 강력하게 권고하고 있다"며 "업권별 금융사 지배구조법 내 (정보보안 관련) 보완 관련 조항을 금소법에 준하는 수준으로 강력하게 마련할 것"이라고 답했다. 

이어 "관련 투자를 촉진하고 리스크 관련 위원회의 내부통제를 강화하는 것을 적극 검토해 조만간 금융위와 함께 법률을 제출할 예정"이라고 부연했다.

추경호 국민의힘 의원도 연이은 보안사고 문제를 지적했다. SGI서울보증보험의 랜섬웨어 해킹사고 이후 금감원이 △제도 개선 △징벌적 과징금 부과 △정보보안책임자 권한 강화 △대응 매뉴얼 구축 등의 대책을 내놓았지만 두 달도 채되지 않아 롯데카드 사태가 터진 까닭이다. 이를 계기로 금감원은 전 금융권에 자체 점검을 요구하는 한편, 블라인드 모의해킹도 진행했다. 특히 블라인드 모의해킹에서 금감원은 주요 업권의 보안이 취약한 점을 발견했음에도, 결과적으로 미흡한 부분의 개선을 이끌어내지 못했다.

추 의원은 "금융권 해킹 침해 사고가 계속 반복되는데, 사후 대책은 재탕이고 감독은 탁상 수준에서 머무르고 있다"며 "감독 당국의 IT검사 업무 안내서를 보면 2021년 1월에 만든 검사 업무 안내서로 안내서로 2025년의 보안 관리 감독을 하고 있다"고 지적했다. 

이에 대해 이 원장은 "세심히 살펴서 실무에 최대한 반영하도록 노력하고 검토 결과를 별도로 보고드리겠다"고 답했다. 

그러면서 "우리 금융 현실이 보안과 관련된 투자가 굉장히 미미하고 저희 금감원도 자체 역량 인력이나 시설 인프라들이 매우 열악한 상태"라며 "(금융권 보안투자가) 미국의 약 15분의 1 정도 밖에 안 돼 있는 현실을 직시해야 한다"고 평했다. 

또 "이번에 금융위에서 저희 금감원 예산 (책정)할 때 우리가 디지털 인프라 구축과 관련된 소프트웨어 구축이나 전산화도 예산이 거의 반영이 안 되고 있는 현실"이라며 "인력·시설 부분들을 개선하는 데 있어서 의원님들의 많은 협조를 부탁드린다"고 답했다.

이정문 더불어민주당 의원은 지난 4월 법인보험대리점(GA) 2곳에서 고객 1100여명의 정보 유출 사고가 발생한 점을 지적했다. GA가 방대한 고객정보를 다루고 있지만, 사실상 관리·감독 사각지대에 놓인 까닭이다. GA는 계약관계에 있는 보험사가 금융보안원에 위탁을 맡겨 매년 정보보호관리와 관련해 점검을 받고 있는데, 형식적인 절차에 불과하다는 게 이 의원의 지적이다. 

이에 이 원장은 "GA의 보안 관리체계 미비는 심각하게 보고있다"며 "근본적으로 디지털 금융안전법이라는 법안을 통해 GA를 제도권 규제체계 안으로 편입시키는 방안을 준비 중"이라고 답했다.