고객 금융정보 가득한데…금융공기업 정보보호 관리체계 제각각

금융공기업, 의무 아니란 이유로 ISMS 미인증
전담 인력 1명이거나 겸직하기도
롯데카드, ISMS 인증 받아도 해킹
"당국의 보안 체계 재점검 필요"

게티이미지뱅크

SKT, SGI서울보증에 이어 롯데카드까지 개인정보 유출 사고가 잇따르는 가운데 고객의 금융 정보를 갖고 있는 금융공기업들의 개인정보 관리 체계가 제각각인 것으로 확인됐다. 개인정보를 관리하는 전담 인력이 1~2명에 그치거나 개인정보보호 책임자가 다른 직무를 겸직하는 공기업도 있었다.

3일 이인영 더불어민주당 의원실이 금융공기업으로부터 제출받은 자료에 따르면, 주택도시보증공사, 한국주택금융공사, 신용보증기금, 한국수출입은행은 정부의 정보보호 관리 체계(ISMS) 인증을 받지 않았다. 반면 서민금융진흥원, 한국자산관리공사는 ISMS 인증을 유지하고 있다.

ISMS는 과학기술정보통신부와 개인정보보호위원회가 관리하고 한국인터넷진흥원(KISA)과 금융보안원(FSI)이 인증 평가를 진행하는 제도다. 기업·기관이 해킹, 내부자의 정보 유출, 시스템 장애 등 보안 위협에 대비해 수립한 대응 체계를 평가한다. 이 과정에서 서류 검증과 현장 실사를 통해 사고 예방·대응, 재해 복구 등 80여 개 항목을 확인한다.

금융공기업 대부분이 ISMS 인증을 받지 않은 이유는 정보통신망법상 인증 의무 대상에서 금융권이 빠져 있기 때문이다. 2016년 ISMS 의무 대상이 정해질 당시 금융권에선 전자금융감독규정상 금융회사의 의무 사항을 준수하고 있는 만큼 중복 규제라는 이유로 규제 도입을 반대했다. 하지만 정보보안 업계에선 ISMS가 최소한의 보안 체계인 만큼 도입 대상을 확대할 필요가 있다고 지적한다. 이에 올해 7월 SGI서울보증이 해킹 공격을 당했을 당시에도 ISMS 인증을 받지 않은 것으로 드러나 논란이 된 바 있다.

일부 금융공기업에선 정보 보안 조직 운영도 부실했다. 주택도시보증공사는 전담 개인정보보호 인력이 1명에 불과했다. 주택도시보증공사, 서민금융진흥원에선 개인정보 보호 관련 총괄책임자(CPO)가 다른 직무를 겸직하고 있었다.

문제는 SKT에 이어 롯데카드 역시 ISMS 등급 인증을 받았음에도 해킹 피해가 발생했다는 점이다. 이에 ISMS 인증의 실효성 점검과 당국의 정보보안 체계에 구멍이 없는지 살필 필요성도 있다는 지적이 제기된다.

이인영 의원은 "금융공기업이 보유한 개인정보는 국민의 재산과 직결되는 만큼 보호 수준이 민간보다 결코 낮아서는 안 된다"며 "의무 여부를 떠나 모든 금융공기업이 더 높은 기준과 절차로 보안 관리 체계를 갖추도록 제도개선이 필요하다"고 강조했다.

안하늘 기자 ahn708@hankookilbo.com