[로이슈 전여송 기자] 국내 금융권을 뒤흔든 대형 전자금융사고가 잇따르는 가운데, 금융보안원을 이끄는 박상원 원장이 ‘사후 권고기관’으로 전락했다는 비판이 제기됐다. 실제로 최근 5년간 카드사와 보증사에서 수백 건의 보안사고가 터졌지만, 실질적 제재나 초동 대응은 단 한 차례도 이뤄지지 않은 것으로 드러났다.

21일 국회 정무위원회 소속 강준현 의원(더불어민주당, 세종을)은 지난 20일 국정감사에서 “금융보안원이 보안사고에 사실상 관여하지 못하고 있다”며 “컨트롤타워로서의 기능이 완전히 마비된 상태”라고 지적했다. 강 의원에 따르면 금융보안원은 2014년 카드 3사 정보유출 사태를 계기로 설립돼 24시간 모니터링과 분석, 기술지원을 수행하지만 법적 감독권이 전무하다. 강 의원은 “결국 사고가 터지면 금융감독원은 사후 제재만, 금융보안원은 권고만 하는 구조로 초동 대응은 완전히 비어 있다”고 비판했다.

실제 최근 5년간 8개 전업카드사에서 총 159건의 전자금융사고가 발생했으나, 자체 IT감사에서 ‘적정’ 판정을 받은 비율은 20%에 불과했다. 특히 롯데카드는 최근 5년간 단 한 차례만 자체 보안감사를 진행했지만, 금융보안원은 이를 시정할 권한조차 없었다.

문제는 형식적인 ‘서류 평가’가 사고 예방에 전혀 도움이 되지 않는다는 점이다. SGI서울보증은 4년 연속 금융보안원 평가에서 최고등급(S)을 받았지만, 지난 7월 랜섬웨어 공격으로 전산이 81시간이나 마비됐다. 롯데카드 역시 ISMS-P 인증을 받은 지 불과 이틀 만에 대규모 개인정보 유출 사고를 냈다. 강 의원은 “금융보안원의 인증이 현실을 반영하지 못한 탁상행정으로 변질됐다”고 직격했다.

강 의원은 제도 개선책으로 ▲금융보안원의 실질적 감독권 부여 ▲모의해킹 도입 및 현장점검 의무화 ▲형식적 평가 탈피 ▲중대사고 시 징벌적 과징금 도입 등을 제시했다. 다만 자진신고와 피해구제 노력을 한 기업에는 감경요인을 반영해야 한다는 현실적 대안을 함께 제시했다.

한편 이억원 금융위원장은 이에 대해 “감시, 예방, 사후 제재가 일관되게 작동해야 한다”며 “금융감독원과 금융보안원이 합동 대응체계를 강화할 필요가 있다”고 밝혔다. 하지만 현행 제도 아래에서는 금융보안원이 ‘책임 없는 보안 컨설팅 기관’ 수준에 머물러 있다는 비판을 피하기 어렵다.

강 의원은 “고객의 개인정보는 유출돼도 책임자는 없다”며 “보안사고를 반복적으로 방치하는 구조가 더는 용납돼서는 안 된다”고 경고했다.

전여송 로이슈(lawissue) 기자 arrive71@lawissue.co.kr