'금융당국의 허술한 감독체계가 현대캐피탈 해킹 사고를 불러일으켰다.'
금융감독원이 전체 금융권을 대상으로 실시하는 정보기술 부문 실태평가 대상에서 캐피털 업계를 비롯한 제2금융권이 제외돼 있는 것으로 나타났다. 이에 따라 금융정보 보안에 대한 금융감독원의 감독체계에 구멍이 뚫려 '제2의 현대캐피탈 해킹' 사건이 언제든지 다시 터질 수 있다는 지적이 제기되고 있다.
12일 금융계에 따르면 금융감독원의 전자금융감독규정 시행세칙에 정해진 정보기술 부문 실태평가 대상 금융기관에 은행과 보험ㆍ신용카드사 등이 포함된 반면 캐피털사는 제외돼 있다. 여신전문업법에 따라 분류되는 신용카드ㆍ할부ㆍ리스ㆍ신기술금융 등 4개 업종 중 카드사만 실태평가를 받고 나머지 여신업체 58개사들은 평가 대상에서 빠져 있는 것. 이번에 해킹 피해를 당한 현대캐피탈도 캐피털 업계 1위지만 평가 대상에 포함돼 있지는 않다.
다만 캐피털 등 업계에 대해서는 정기검사 때 정보보안 부문 검사를 실시한다. 하지만 종합검사는 재무건전성 등에 초점을 맞추는 만큼 정보보안 부문의 경우 형식적인 검사에 그친다. 실제로 금감원은 지난해 12월 현대캐피탈에 대한 종합검사를 실시했지만 불과 두 달 만에 해킹 피해를 입었다.
금감원은 또 저축은행과 신용협동조합의 경우에도 개별 은행과 조합이 아닌 중앙회만 실태평가 대상으로 정해놓았다. 개별 저축은행이나 신용협동조합에 대한 실태평가를 할 근거 자체가 없는 것이다.
금감원은 이러한 지적에 대해 "관련세칙상 제2금융권에 대한 실태조사 근거가 없다"며 "검사인력도 11명에 불과해 모든 금융권의 보안 문제를 살펴보기는 어렵다"고 밝혔다.
금융전문가들은 감독원 세칙과 관련해 금융정보 보안의 중요성에 대한 금융당국의 인식부족에서 나왔다고 지적한다. 금융보안연구원의 한 관계자는 "제2금융권 금융기관들이 자체적으로 보안강화를 위한 예산을 높이는 것은 현실적으로 어렵다"며 "정부가 정책적인 차원에서 이를 감독할 수 있는 규정을 만들고 인력도 보완해야 '제2의 현대캐피탈'을 막을 수 있다"고 말했다.
