[디지털투데이 강진규 기자] 우려가 현실로 드러났다. 코로나19로 재택근무, 망분리 완화 등이 이뤄진 상황에서 금융회사들의 보안허점이 금융감독원 검사에서 적발된 것으로 알려졌다.

8일 금융권에 따르면 지난해 금융감독원이 금융회사들을 대상으로 디지털 금융 부문 검사를 진행한 결과 허점들이 곳곳에서 적발됐다.

지난해 2월 코로나19가 확산되면서 금감원은 한시적으로 금융회사들의 망분리 정책을 완화했다. 그런데 코로나19가 장기화되면서 지난해 9월 금감원은 재택근무 일상화에 대비해 망분리 제도를 개선했다. 당시 금감원은 “금융회사가 신속하고 안전하게 재택근무로 전환할 수 있도록 망분리 규제를 개선한다”며 “금융회사의 상시 재택근무를 위한 원격접속을 허용한다”고  밝혔다.

망분리는 금융회사의 핵심 시스템에 접속하는 망과 인터넷 망을 분리해 운영하는 개념이다. 금융권을 대상으로 한 해킹이 기승을 부리면서 금융당국은 망분리를 의무화했다. 그런데 코로나19로 이를 일부 완화했다.

금감원은 재택근무 시에도 사내근무 환경에 준하는 보안수준을 유지할 것을 요구했다. 원격접속 직접 연결의 경우 보안 프로그램을 설치해 회사가 지급한 단말기만 사용 가능하게 하고 인터넷 연결을 항상 차단해야 한다고 밝혔다. 간접 연결의 경우에는 백신 등 기본적인 보안수준을 갖춘 개인 단말기도 사용 가능하며 내부망과 전산자료 송수신을 차단하고, 업무망 연결 시 인터넷을 차단하도록 했다. 또 금감원은 원격접속 시 아이디, 패스워드 이외에 일회용 비밀번호 등을 이용해 추가로 인증을 하도록 하고 재택근무 시 최소한의 업무시스템만 외부에서 접근할 수 있도록 통제를 요구했다.

그러나 금감원 관계자들에 따르면 지난해 검사에서 각종 문제점이 드러났다. 일부 회사들은 망분리 예외 적용 시 전체 인터넷 접속을 허용하는 등 '망분리 대체 정보보호통제 방안'을 미준수했다. 예외를 적용해도 보안 대책을 세워야하는데 예외 조치만 생각하고 보안 대책을 준수하지 않은 것이다. 또 핵심 정보처리시스템에 직접 접속하는 단말기임에도 물리적 망분리를 미적용한 사례도 적발됐다. 일부 금융회사들이 망분리 예외를 잘못 해석한 것이다.

지난해 금감원 검사에서 다양한 사이버보안 취약점들이 드러났다. 금감원 관계자들에 따르면 일부 금융회사들은 테스트를 실시하지 않고 프로그램을 운영환경에 적용해 프로그램 오류, 처리지연 등 장애가 발생했다. 또 외주 직원에게 시스템 관리자 권한을 부여하는 등 중요 시스템 계정에 대한 문제도 적발됐다. 2011년 4월 발생한 NH농협은행 전산망 마비사태는 외주 회사인 한국IBM 직원의 PC가 해킹당한 것이 문제가 됐다. 그런데 여전히 외주 직원에 대한 관리 문제가 적발된 것이다.

또 보안 취약점과 관련된 문제도 드러났다. 금감원의 검사결과 일부 금융회사들에서는 2019년 조치 완료된 취약점이 2020년에도 동일하게 다시 발견됐다. 이는 금감원의 지적을 받고도 후속조치를 제대로 시행하지 않았다는 뜻이다. 일부 회사들은 취약점 분석, 평가 결과를 금감원에 보고 하지 않은 경우도 있었다.

이밖에도 차세대 시스템 등 대규모 IT사업 추진 시 인력 구성 등 사전 준비가 부족하고 통합 테스트가 미흡한 사실이 드러났다. 전자금융사고 보고대상 관리 미흡으로 전산사고 발생 시 금감원에 보고가 누락되는 사례도 있었다.

금융권 관계자들은 망분리, 취약점 관리, 외주 직원 관리 등 총체적인 문제가 지속되고 있다고 우려하고 있다 한 금융권 관계자는 “코로나19로 금융IT 분야에 규제가 완화되고 있는 상황에서 보안 수칙을 지키지 않는 사례가 드러났다”며 “이같은 사례가 사고로 이어질 경우 금융당국의 규제가 다시 강화될 수 있다”고 우려했다.