금융위원장, 롯데카드 고객정보 유출 사태 관련 금융보안원 과오 인정

현재 진행중인 전수 조사 시 관리 사각지대 없는지 점검하겠다고 밝혀

- 금융보안원의 금융기관 자체 보안 점검항목에 웹로직 관련 항목 누락

- 웹로직 보안 권고 이행여부 점검 안 해… 김남근 의원, “금융보안원의 행정방식 안일”

- 이억원 금융위원장, “261개 금융회사 전수조사 통해 재발 방지하겠다”

최근 롯데카드 고객정보 유출 해킹사건 원인이 전자금융기반시설 운영 서버인 48개의 오라클 웹로직(WebLogic) 서버 중 하나가 자산목록에서 누락되어, 보안패치 등 조치가 이루어지지 않았던 것 관련하여, 금융보안원 등 금융감독당국의 대응이 안일했다는 지적이 나왔다.

지난 20일 국회 정무위원회에서 열림 금융위원회 대상 국정감사에서 김남근 의원(서울 성북을, 정무위원회)은 금융보안원이 2024년 8월과 10월 두 차례에 걸쳐 웹로직의 보안 취약점을 경고하고 보안 조치를 취할 것을 권고했음에도 불구하고, 금융보안원이 금융기관 자체 보안 점검항목으로 배포하는 ‘전자금융기반시설 취약점 분석·평가 내용’ 상에는 웹로직 관련 항목이 포함되지 않았다고 질타했다.

또한, 2024년 웹로직 취약점 공격 시도와 관련해서 금융보안원이 2018년 최초 권고 이후 금융회사들이 웹로직 보안 패치 업데이트 등 대비했는지 점검했다면 공격 시도나 롯데카드 사태가 발생하지 않았을 것이라 지적하면서, “금융보안원의 행정방식이 너무 안일하다”고 비판했다.

김 의원은 이번에 해커의 공격을 당한 웹로직 프로그램이 롯데카드가 관리하는 정보보안 자산목록에서 누락되어, 보안 점검대상에 포함되지 않아 7년간 방치되었던 점을 지적하고, 유사한 관리 사각지대가 없는지 금융권 전반에 대한 실태 점검을 통해 국민적 우려를 불식시켜야 한다고 강조했다.

이에 대해 이억원 금융위원회 위원장은 “금융권의 보안에 대한 인식과 경각심 정도가 매우 낮다”며, 취약점 분석·평가 항목 미포함, 사후 조치 점검 미비 등 금융보안원의 업무상 과오를 인정하고, 현재 진행하고 있는 261개 금융사 전체에 대한 전수 검사 과정에서 관리 사각지대 문제를 감안하겠다고 답변했다. (끝)