홈페이지나 내부업무시스템 비밀번호 관리 등 정보처리시스템 보안을 제대로 관리하지 않은 카드사·생명보험사들이 금융당국으로부터 무더기 제재를 받았다.

금융감독원은 지난해 15개 금융회사를 상대로 한 테마검사에서 NH농협증권·신한카드·신한생명·푸르덴셜생명·PCA생명 등이 전자금융감독규정을 어긴 사실을 적발해 실무자에 주의처분을 내렸다고 12일 밝혔다.

NH농협증권은 정보처리시스템 보안대책 이행이 철저하지 못한 점이 지적됐다. 현행 전자금융감독규정에 따르면 주요 정보를 저장하는 경우에는 반드시 암호화해 저장·관리해야 하고, 공개용 웹서버가 해킹공격에 노출되지 않도록 적절한 대응조치를 한다. 또 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외하고 암호화 통신을 하도록 규정하고 있다.

하지만 NH농협증권은 서버에 주요정보를 저장하면서 암호화하지 않았고, 일부 시스템에서 해킹 예방프로그램 적용 등의 적절한 대응조치를 취하지 않았다. 또 일부 암호화 통신을 실시하지 않아 보안이 취약한 것으로 드러났다.

신한카드는 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 '구조화조회언어(SQL) 주입공격'을 예방하는 데 필요한 프로그램을 설치하지 않아 해킹공격에 취약한 것으로 나타났다.

SQL 주입공격은 웹 클라이언트의 반환 메시지를 이용해 불법 인증을 받고 정보를 유출하는 해킹방식이다.
신한생명은 외부인이 공인인증서 등 추가 인증을 하지 않아도 아이디와 비밀번호만으로 홈페이지 관리자 페이지에 접속할 수 있도록 시스템을 운영해 전자금융감독규정 제7조와 17조를 위반했다.

푸르덴셜생명은 공인인증서 등의 추가 인증수단 없이도 아이디와 비밀번호만으로 시스템에 접속할 수 있도록 한데다, 별도 법인인 A사의 홈페이지를 분리하지 않고 푸르덴셜생명 내부통신망에 설치·운영한 것으로 나타났다.

PCA생명은 내부업무시스템의 비밀번호를 암호화하지 않아 IT담당자가 내부 직원의 개인정보에 접근할 수 있는 여지를 뒀다.

금감원 관계자는 "실제로 IT사고가 발생한 것은 아니나 보안 규정을 제대로 지키지 않은 책임을 물었다"고 제재 이유를 설명했다.

한상오 기자 다른기사 보기