간편결제업체 안전성 또 '경고등', 네이버도 안전성 확보의무 안지켜
상태바
간편결제업체 안전성 또 '경고등', 네이버도 안전성 확보의무 안지켜
  • 황동현 기자
  • 승인 2019.07.28 00:27
  • 댓글 0
이 기사를 공유합니다
내부 업무용시스템 망분리 안해, 인터넷 등 외부통신망에 접속 가능
전산실내 정보처리시스템, 물리적으로 분리하지 않고 논리적으로만 분리해 운영

네이버·카카오 등 전자금융업자들의 전자거래 안전성에 또 경고등이 켰졌다. 금감원이 카카오에 이어 네이버에도 기관 과태료 부과와 관련직원을 제재조치 하면서 이들의 거래 안전성 이슈가 다시 도마위에 올랐다.

간편결제는 금융소비자가 간단한 인증만으로 편리하게 이용할 수 있는 결제방식으로 지난해말 기준 은행, 카드, 전자금융업자 등 총 43개사가 50종의 서비스를 제공 중이다

그런데, 금융업자라면 당연히 준수해야 할 내부통신망과 외부통신망 간의 망분리가 되지 않아 해킹위험에 그대로 노출돼 있는게 현실이다. 전산실에 무선통신망이 망분리 없이 설치돼 있고 정보보호최고책임자(CISO)가 이를 제대로 통제하지도 않았다. 전반적으로 전자금융업 영위를 위한 내부통제체계가 갖춰져 있지 않은 게 문제였다.

감독당국은 각종 전산사고 방지, 해킹 등 전자적 침해행위 방지 등 내부통제 관리 강화뿐만 아니라 지급결제수단 등록절차의 취약점을 이용한 사고가 발생하지 않도록 적절한 보호조치 등을 적용토록 하는 한편, 시스템 장애 등으로 간편결제 서비스가 중단되지 않도록 서비스 제공 금융회사 및 전자금융업자 스스로 시스템 안정성을 높이도록 유도할 계획이다

27일 관련업계에 따르면 금감원은 지난 22일 검사결과제재 공시를 통해 네이버가 전자금융거래의 안전성 확보의무를 미준수했다고 밝혔다. 또, 금감원은 3000만원의 과태료와 직원1명에게 주의 및 퇴직자 1명에게 위법사실을 통지했다

전자금융거래법 및 전자금융감독규정에 의하면 금융회사 등은 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위를 방지하기 위해 내부통신망과 연결된 내부 업무용시스템을 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단해야 한다.

그러나 네이버는 내부통신망과 연결된 본사 임직원 단말기 등 내부 업무용시스템에 대해 망분리 이행을 완료하지 않고, 인터넷 등 외부통신망에 접속이 가능하도록 운영했다.

또 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리해야 하지만 네이버는 이를 물리적으로 분리하지 않고 논리적으로만 분리해 운영했다.

금융감독원의 한 관계자는 "전자금융업을 통해 금융 거래가 매우 많이 일어나고 있어 금융당국으로서는 당연히 관리 감독을 해야 한다"며, "내부적인 추가 절차를 거쳐서 최종적으로 네이버에 대한 제재 조치가 확정될 것이다. 금융위 회의를 거쳤으므로 제재 내용이 바뀔 가능성은 크지 않다"고 말했다.

금융당국은 지난 2015년 말에도 네이버에 대해 비교적 약한 수준인 경영유의 조치를 내린 바 있으나 과태료를 부과하지는 않았다.

또, 지난해 말 카카오도 유사한 사유로 기관 과태료 3000만원, 직원 1명 주의 및 퇴직자 1명에게 주의상당 위법사실 통지의 제재를 받았다. 

카카오는 전자금융거래의 안전성 확보의무를 지키지 않았다. 해킹을 방지하기 위해 내부 업무용 시스템을 인터넷 등 외부 통신망과 분리해야 하는데 이를 이행하지 않았다.

그리고, 금융회사 등은 전산실에 무선통신망을 설치하지 않아야 하고, 무선통신망을 운용하는 경우에도 최소한으로 국한하며 정보보호 최고책임자의 승인을 받아야 하는데 이를 어긴 것으로 나타났다. 금융회사로서 기본적으로 갖춰야 하는 요건들을 지키지 않았기 때문이다.

삼성페이의 경우 지난 2015년 출범당시 금융감독원 보안성심의를 받은 이후 당국의 제재대상 리스트에 오르진 않았다. 다만 감독당국이 지난해 초 IT·핀테크전략국을 개설해 감독강화를 본격화 해 나가고 있는 만큼 오프라인결제의 약 80%를 차지하고 있는 삼성페이도 개인정보 유출, 해킹 등 사고예방, 전산 안정성 등의 당국의 감시를 피해가긴 어려울 전망이다.

삼성 금융계열사의 경우 최근 삼성카드가 2016년3월12일 부터 2017년8월31일 기간 중 상거래관계가 종료된 후 5년의 소멸시효가 완성됐음에도 개인신용정보를 지우지 않고 있다가 뒤늦게 소멸시효 완성 개인신용정보 273,464건, 채권매각된 개인신용정보 9,181,855건을 삭제해 금감원으로 부터 지난 6월 기관 과태료 2,700만원의 제재를 받았다.

또, 삼성증권의 경우 지난해 4월 유령주식 발행사태가 발생해 국내 주식매매시스템의 안정성 논란을 일으켰고 직원들의 모럴헤저드 이슈가 사회적 문제로 까지 번지면서 금융권을 뒤흔들어놨다.

삼성증권 배당오류사고는 지난해 4월 6일 담당직원의 전산입력 실수로 우리사주 조합원에 대한 현금배당(28억1000만원)을 주식배당(28억1000만주)으로 착오 입고한 사상 초유의 금융사고다.

 

 

 

황동현 기자  financial@greened.kr

▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'
저작권자 © 녹색경제신문 무단전재 및 재배포 금지
황동현 기자
황동현 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.