롯데카드, 정부 ‘보안 인증’ 이틀만에 뚫려… 감독도 허술

과기부 지정 금융보안원 인증받아
최근 해킹사고 잇달아 “부실” 지적
“정부 차원 사이버 보안 공조 필요”

롯데카드 본사

롯데카드 해킹 사고로 정부의 허술한 보안 감독 체계가 고스란히 노출됐다는 지적이 나온다.

18일 금융권에 따르면 롯데카드 해킹 공격으로 첫 파일이 유출된 시점은 8월 14일 오후 7시 21분이었다. 롯데카드가 금융보안원으로부터 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 획득(8월 12일)했다고 밝힌 것이 8월 13일이었다. 정부 인증을 받은 지 불과 이틀 만에 해킹 공격에 뚫리는 촌극이 발생한 것이다.

ISMS-P 인증이란 정부가 기업의 정보보호 및 개인정보보호 관리체계가 적합하게 운영되는지 심사하는 제도로 2018년 도입됐다. 과학기술정보통신부와 개인정보보호위원회가 인증·심사 기관을 지정하며 금융권은 금융보안원, 금융권 외 민간 기업은 한국인터넷진흥원(KISA)이 인증·심사를 한다.

전문가들은 정부의 이 같은 인증 제도가 제대로 운영되지 않다 보니 기업 해킹 사고가 끊이지 않고 있다고 지적한다. 김승주 고려대 정보보호대학원 교수는 “해킹 사고를 예방하기 위한 차원에서 정부가 선진국 사례를 벤치마킹해 ISMS-P 제도를 도입한 것”이라며 “롯데카드도 문제지만 개보위와 과기정통부가 관련 제도를 부실하게 운영한 건 아닌지도 살펴볼 필요가 있다”고 지적했다.

정부가 금융감독 조직 개편을 추진 중인 상황이지만 보안 감독 기능을 강화하는 방안은 논의되지 않고 있다. 금융당국 고위 관계자는 “아직 조직 개편에 대한 원론적인 이야기만 나왔지만 그 과정에서 ‘보안’이라는 키워드가 나온 적이 단 한 번도 없었다”며 “가뜩이나 금융 유관기관이 늘어날 예정인데 금융보안 관련 부서, 인력, 예산 등이 줄어들 가능성도 있다”고 했다.

이동통신사에 이어 금융사들도 대규모 해킹 공격에 노출되면서 정부 차원의 사이버보안 공조 체계를 정비해야 한다는 지적도 나온다. 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원은 “과기정통부와 금융위, 행정안전부, 경찰청 등 유관 기관들이 해킹 대응 차원에서 정보 공유를 의무화하고, 금융위는 감독·제재 역할 중심으로 바꾸는 등의 제도 개선을 더 늦기 전에 검토할 때”라고 강조했다.