최근 간편결제 및 빅데이터 활용 등 금융혁신이 이뤄지면서 소비자들의 금융거래는 이전보다 훨씬 편리해졌는데요.
반면 핀테크 발전으로 보안이 취약한 고객 접점이 늘어나면서 랜섬웨어나 악성코드, 디도스 등 금융회사를 대상으로 한 사이버 공격이 증가하고 있습니다.
규모가 큰 금융회사들은 고도화된 이상거래 탐지시스템, FDS를 도입하는 등 사이버 보안역량을 지속적으로 강화하고 있는데 정작 사고는 ATM밴사 등 금융사의 외주업체에서 많이 발생하고 있습니다.
그간 비교적 관심 밖에 있던 외주업체가 사이버 보안의 최대 허점으로 지적되는 상황인데요. 금융증권부 정훈규기자와 얘기 나눠 보겠습니다.
[앵커]
Q. 정기자, 지난 3월 국내 현금자동입출금기 서버가 해킹된 사건이 있었는데, 외화벌이를 노린 북한 해커의 소행으로 드러났다죠?
[기자]
네, 문제가 된 것은 청호이지캐쉬가 운용하는 ATM 63대로, 편의점이나 대형마트 등에 설치된 기기들인데요.
경찰은 지난 3월 초 피해가 발생한 이후 이 기기들을 대상으로 전수조사를 했습니다.
해킹 수법과 특징 등을 파악한 결과 지난해 북한이 국가 주요기관과 대기업 등을 상대로 벌인 사이버테러와 여러 면에서 동일하다는 사실을 확인했습니다.
이번 해킹에는 지난해 다른 사건들처럼 백신 업데이트 서버의 취약점을 이용한 침투 방식으로 동일한 악성코드가 사용됐고, 당시 해킹에 쓰인 서버가 다시 사용됐다고 경찰은 설명했습니다.
해킹된 ATM에서는 지난 9월부터 올해 3월까지 카드와 계좌번호, 주민번호 등의 금융정보 약 24만건이 유출됐는데요.
이렇게 유출된 정보를 한국인과 중국동포들이 넘겨받아 사용하면서 금전적 피해도 상당했습니다.
경찰에 따르면 이들은 유출 정보를 이용해 만든 복제카드로 국내외 현금인출 약 9,000만원, 각종 대금결제 1,000만원, 고속도로 하이패스 충전 300만원 등 1억원 넘는 피해를 끼쳤습니다.
이 밖에도 무려 3억원 넘는 규모의 복제카드 사용 시도가 있었지만, 피해 발생 이후 금융감독원을 통한 조치가 이뤄져 결제가 거절됐습니다.
Q. 자칫 피해 규모가 4억원을 넘을 수도 있었던 사건이군요. 앞으로 금융회사보다 상대적으로 보안 역량이 떨어지는 외주업체로 우회한 사이버 공격이 또 발생할 가능성이 높아 보이는데요. 대응 방안은 마련되고 있습니까?
[기자]
네, 그동안은 금융보안연구원과 금융사들은 공동으로 외주 업체의 보안 취약점을 매년 점검해 왔는데요.
점검 기간이나 횟수, 인력 부족 등으로 문제점을 발견하지 못해 이번 사건이 발생했습니다.
금융감독원은 앞으로 보안 관련 인력을 더 투입하고 조사 기간과 시기 등도 새로 조율할 계획인데요.
특히 문제가 되는 것은 ATM밴사 등의 외주는 여러 금융사의 공동 위탁 형태로 돼 있어서 점검을 통해 문제점을 발견해도 책임지고 사후관리를 하는 곳이 없었다는 겁니다.
문제를 알아도 개선 여부를 확인하거나 지속적으로 관리하는 곳이 없었다는 얘긴데요.
이에 금감원은 최근 공동 위탁형태의 외주 업체에 대해 담당 금융기관을 하나씩 지정해 사후관리를 책임지도록 했습니다.
또 담당 금융회사가 외주업체에 대한 사후관리 결과 문제가 있을 경우 공동 위탁사들로 구성된 협의체에서 논의해 처분까지 결정할 수 있는 체계를 갖췄습니다.
Q. 외주업체들에 대한 역할이 강화되면, 책임도 뒤따를 텐데요. 금융회사들의 부담이 커지지 않겠습니까?
[기자]
네, 지금도 문제가 발생하면 금융회사들이 책임을 지게 돼 있습니다.
이번 청호이지캐쉬 ATM 해킹 사고로 인한 부정 승인 피해도 각 금융회사가 전액 책임지는데요.
전자금융거래법 제 9조 및 여신전문금융업법 제16조 등에 따르면 신용카드의 위·변조로 발생한 사고로 인해 카드회원에게 손해가 발생한 경우 카드회원의 고의 또는 중과실이 없다면 금융회사가 책임을 져야 합니다.
금감원의 기본 원칙도 위탁 관계에서 최종 책임은 위탁사가 져야 한다는 겁니다.
예를 들어 이번 ATM 해킹 사건처럼 나도 모르게 내 카드가 결제돼, 카드사에 전화했더니 외주 업체 운운하며 남 얘기 하듯 하면 소비자 입장에서 황당할 수 밖에 없는데요.
외주 업체에서 발생한 문제라 해도 자사 서비스에 대한 책임은 어찌 보면 당연한 일입니다.
금감원은 금융사의 외주 업체 관리를 강화하는 한편, 자체적으로 금융회사의 정보보호 인력과 예산 비율, IT 검사 횟수 등 계량실태평가를 상시 실시해 취약부문에 대한 감독·검사 역량을 집중할 계획입니다.
이와 함께 전자금융사고 시 소비자가 투명하고 신속하게 피해배상을 받을 수 있도록 사고처리 절차 등을 개선해 금융회사가 책임지는 관행을 확립하겠다는 게 금감원의 입장입니다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
cargo29@sedaily.com
