통신·금융권에서 연이어 터진 대규모 해킹사고에 정부가 긴급 대응에 나섰다. 금융위원회는 "보안투자를 비용으로만 여기는 안이한 태도를 버리라"며 징벌적 과징금 제도를 도입하겠다고 경고했다. 정부는 기업이 고의적으로 침해 사실을 지연 신고하거나 미신고할 경우 과태료 등 처분을 강화하하고, 기업 신고 없이도 정황을 확보한 경우 정부가 철저히 조사할 수 있도록 할 계획이다.
과학기술정보통신부와 금융위원회는 19일 정부서울청사에서 합동 브리핑을 열고 KT 무단 소액결제 사태와 롯데카드 정보유출 사건의 조사 경과와 대책을 발표했다.
권 부위원장은 "해킹 기술이 급격히 진화하는데 금융권의 대응은 이를 따라가지 못했다”며 “보안을 비용이나 부차적 업무로 여겨온 인식이 대형 사고로 이어졌다"고 직격했다.
류제명 과기부 2차관은 "불법 초소형 기지국이 어떻게 KT 내부망에 접속했고, 어떤 경로로 개인정보를 확보했는지를 집중 조사하고 있다"고 밝혔다. 현재까지 확인된 피해는 피해자 362명, 피해액 약 2억4000만원 규모다. 또 불법 기지국에 노출된 이용자가 2만30명에 달한다. 이들의 전화번호와 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 등 민감한 정보가 유출된 정황이 드러났다.
류 차관은 "정부는 국가안보실을 중심으로 범부처가 합동 대응 중"이라며 "기업이 침해 사실을 늦게 신고하거나 은폐할 경우 과태료를 강화하고, 정부가 직접 정황을 포착했을 때도 조사권을 발동할 수 있도록 제도를 손질하겠다"고 했다.
권 부위원장은 "롯데카드에서 당초 신고된 1.7GB가 아니라 총 200GB의 정보가 빠져나간 것으로 확인됐다”고 밝혔다. 유출된 고객은 296만9000명, 이 중 약 28만3000명은 카드 비밀번호와 CVC까지 포함된 것으로 조사됐다.
롯데카드는 사고 직후부터 추가 본인인증 절차, 부정사용 시 전액 보상 약속, 카드 재발급 유도 등의 조치를 시행하고 있으며 현재까지 직접적인 부정결제 피해는 확인되지 않았다.
권기남 금융보안원 사이버대응본부장은 "정보보호 관리체계(ISMS-P) 인증은 준비도에 불과하며 해킹 차단을 보장하는 것은 아니다"며 “포렌식 조사를 통해 추가 취약점 여부도 확인 중”이라고 말했다.
징벌적 과징금에 이행강제금 까지…제재 수위 강화
권 부위원장은 “금융회사 CEO 책임 하에 전산시스템과 정보보호 체계를 전면 점검하라”며 “사고 발생 시 사회적 파장에 걸맞은 결과 책임을 지도록 징벌적 과징금을 도입하고, 정부 개선 요구를 이행하지 않으면 이행강제금을 물리는 방안까지 추진하겠다”고 밝혔다.
최고보안책임자(CISO)의 권한을 강화하고, 각 금융사의 보안 수준을 소비자들이 비교할 수 있도록 공시 의무도 강화한다. 평상시에도 금융사 스스로 보안에 긴장감을 갖도록 하기 위한 조치다.
금융위원회와 금융감독원, 금융보안원은 전 금융권을 대상으로 보안 실태 긴급 점검에 착수했다. 초동 조사에서 드러난 취약점은 즉시 전 금융사에 전파됐고 카드사 전반에 대한 보안 점검도 본격화됐다. 당국은 위규사항이 확인될 경우 '일벌백계' 수준의 제재를 가하겠다는 방침이다.
정부는 이번 사태를 계기로 국가안보실을 중심으로 과기정통부, 금융위, 국정원, 개인정보보호위원회가 참여하는 범부처 대책을 조만간 마련하기로 했다.
