|
23일 금융감독원이 국회 정무위위원회 강준현 더불어민주당 의원실에 제출한 자료를 이데일리가 입수해 분석한 결과 8개 카드사(신한·삼성·현대·국민·하나·우리·롯데·BC카드)가 최근 5년간 정기적으로 IT 자체감사를 한 결과 스스로 ‘적정하다’고 판단한 비율은 20%에 그쳤다. 삼성·현대·BC카드는 매년 IT자체 감사에서 ‘일부 미흡하다’고 판단했고 신한·하나·우리카드는 한 해를 제외하고는 모두 ‘일부 미흡’한 점을 발견했다.
문제는 IT시스템 접근통제, 데이터 암호화 등 사이버 보안에 핵심적인 항목에서도 취약점이 다수 발견됐다는 점이다. 신한카드는 IT 감사에서 접근통제 정책, 운영체제(OS) 업데이트, 전산센터 출입권한 등의 미흡한 점을 발견하고 개선키로 했다. 현대카드는 데이터 암호화, 하나카드는 시스템 패치 수행, 비씨카드는 사용자 계정 관리 등의 부문에서 스스로 부족한 점을 발견하고 개선 계획을 수립했다.
그나마 취약점을 발견해 방어막을 튼튼히 했으면 다행이지만 IT 감사는 각 사가 시행시기·방법·점검항목을 모두 자율적으로 정해 사각지대가 생길 수밖에 없다. 5년간 각 사의 IT 감사 주기와 점검 부문·항목은 제각각이었다. 감사를 담당하는 곳 또한 IT부서와 정보보호부서, 감사부 등 모두 다르고 통합 컨트롤타워가 없다.
특히 소비자 정보보호의 관점에서 감사항목을 설계하지 않아 각 사의 필요와 판단에 따라서만 감사를 시행한다는 문제가 있다. 예컨대 현대카드는 IT서비스 본부에서 IT내부통제 적정성과 IT 운영 현황을 점검하고, 롯데카드는 IT부서와 정보보호 관련 부서에서 IT 보안·경영·서비스·시스템 등을 점검한다. 당국의 요청사항과 각 사가 자체적으로 만든 체크리스트가 있기는 하지만 ‘보안패치 업데이트 현황 점검’ ‘화이트해커를 통한 취약점 점검’ 등의 세부사항은 없다.
최소한의 디테일이 없는 데다 보안 취약점을 개선하지 않아도 담당자·책임자에 대한 중대한 불이익이 없어 온전히 해당 부서와 담당 임원의 역량과 의지에 기대고 있다. 이렇다 보니 IT 자체감사의 실효성을 높여야 한다는 지적이 나온다. 200기가바이트(GB)의 정보가 유출된 롯데카드는 IT부서 자체 감사에서 올해에도 ‘적정’하다는 셀프 합격점을 줬다. 정기적으로 IT 감사를 하는 다른 카드사에서도 매년 전자금융사고가 발생하고 있다. 최근 5년간 8개 카드사에서 일어난 전자금융사고는 159건에 달했다.
국회에서는 카드사뿐 아니라 금융당국에 제도 개선을 요구하고 있다. 강준현 의원은 “IT 보안은 금융의 기본 인프라이자 소비자 신뢰의 토대다”며 “금융당국이 카드사 전반의 보안 관리기준을 제도적으로 정비하고 관리·감독해 금융사고를 예방하는 데 만전을 기해야 한다”고 강조했다.
!['과대망상'이 부른 비극…어린 두 아들 목 졸라 살해한 母[그해 오늘]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/02/PS26021700001t.jpg)
