스마트폰을 이용한 금융거래가 이미 하루 1조3,000억원을 훌쩍 넘은 가운데 금융회사의 모바일앱이 금융사기와 정보유출 위험에 대거 노출된 것으로 나타났다. 지난해 신한은행과 농협 등의 서버를 마비시킨 3·20 사이버테러에 이어 올 초 카드 3사의 대규모 고객정보 유출 사태 등에도 불구하고 금융권에 대한 정부의 정보기술(IT) 보안 관리는 여전히 큰 구멍이 나 있었다.
감사원은 17일 금융위원회와 금융감독원을 상대로 '금융권 정보보호 및 사이버안전 관리·감독실태'를 감사한 결과 금융회사의 72개 모바일 앱 중 38개에서 위·변조 가능성, 중요 정보노출 등 54개 보안취약점을 확인했다고 밝혔다. A은행 등이 운영하는 모바일앱 27개는 위·변조 후 재설치해 금융거래가 가능했고 B증권 등이 운영한 8개 앱은 소스코드 내 중요정보가 노출될 위험이 있다고 감사원은 지적했다. C금융회사 등이 운영하는 앱 4개는 로그인 정보를 평문으로 전송하는 문제점이 발견됐다. 감사원은 "금융당국이 모바일뱅킹 이용이 급증함에 따라 보안관리규정을 마련하고 이를 검증해야 하는 데 미흡했다"고 꼬집었다.
또 금감원은 은행과 카드·보험·증권사 등의 IT 부문 검사와 관련해 운영실태 평가를 하도록 한 규정을 지키지 않아 최근 5년간 보험개발원 등 46개 금융기관이 실태평가를 전혀 받지 않았다. 아울러 은행연합회를 포함한 26개 금융기관은 종합검사격인 IT 검사조차 받지 않은 것으로 드러났다. 금감원은 IT 안전성에 대한 점검을 할 때도 30개 기준 조항의 절반인 15개 조항을 아예 제외하거나 허술하게 반영, 금융회사 등에서 해킹방지 프로그램 보정이나 내부망 보호구간 설정 등의 안전 조치가 이뤄지지 않았다고 감사원은 밝혔다.
지난 1월 발생한 KB·롯데·농협카드의 대규모 고객정보 유출 사태 역시 정부의 관리·감독 소홀에 따른 예견된 인재(人災)로 확인됐다. 감사원은 당국이 금융회사가 외주업체에 대한 보안관리를 체계적으로 할 수 있는 규정을 갖추지 않아 시중은행 5곳의 용역업체 직원 컴퓨터에 '전산망 구성도' 같은 주요정보가 저장된 사실을 적발했다고 전했다. 카드 3사는 용역업체나 협력사 직원 관리에 허점을 드러내면서 대규모 고객정보 유출이 발생했다. 이번 감사에서는 외주업체가 개발시스템을 통해 운영시스템에 접속, 고객정보를 유출하거나 삭제할 가능성도 제기됐다.
미래창조과학부는 휴대폰 소액결제 사업을 관리·감독하면서 등록 자격이 없거나 부당 결제를 유도하는 업체들을 방치해 소비자 피해가 속출했다. 감사원은 미래부의 업무 소홀로 2010년부터 지난해 8월까지 모두 14만건의 부당결제에서 46억원의 피해가 발생했다고 지적했다.