법인보험대리점(GA) 업계가 금융감독원의 전산시스템 보안 수준 평가에서 가장 낮은 등급인 ‘5등급’을 받은 것으로 나타났다. 금감원은 보험회사 협의체를 활용해 GA 보안 실태를 본격적으로 점검하는 방안까지 검토하고 있다.
이세훈 금감원 수석부원장은 27일 서울 여의도 금융보안원 금융보안교육센터에서 열린 ‘초대형 GA 보안 강화 간담회’에서 “GA 전반의 보안 수준이 매우 미흡해 금융권의 ‘가장 약한 연결고리’로 우려된다”며 “경영진의 강한 개선 의지와 투자가 필요한 시점”이라고 말했다.
이번 지적은 대형 GA를 대상으로 최근 실시한 ‘내부통제 실태평가’에서 보안 관련 항목인 ‘전산시스템 구축·운영’ 부문 평균 등급이 최하 등급으로 평가된 데 따른 것이다.
이 수석부원장은 “초대형 GA는 보험계약정보 등 대규모 개인정보를 다루고 있지만, 정보보안 측면에서 별다른 조치나 관리가 없었다”며 “GA 시장이 커진 만큼 보안 리스크를 줄이기 위한 특별한 대책이 필요하다”고 설명했다.
이어 “GA 자체적인 보안전문인력 확보와 전산 투자에는 상당한 시간이 소요된다”며 “보험사와 GA 간 긴밀한 업무 구조를 고려해 보험회사 협의체를 통해 GA 보안 실태를 전문적이고 일관성 있게 점검하는 방안도 고려해볼만 하다”고 밝혔다. 협의체에는 GA 현장의 애로사항을 반영하기 위해 주요 GA의 정보보호·보안 책임자가 함께 참여할 전망이다.
이번 간담회는 최근 잇따른 GA 해킹 및 개인정보 유출 사고를 계기로 마련됐다. 올해 상반기에는 GA에 전산 프로그램을 공급하는 외부 IT업체가 해킹을 당하면서, 이를 통해 GA가 보유한 정보가 함께 유출되는 사고도 발생했다.
금감원과 금융보안원은 초대형 GA의 금융보안원 사원 가입을 추진해 지난 21일 한화생명금융서비스, 인카금융서비스 등 14개사가 가입을 마쳤다. GA는 기존 정관상 사원 가입 대상이 아니었지만, 업계 전반의 정보보호 수준을 끌어올릴 필요성이 제기되면서 대의원회 의결 등을 거쳐 가입이 허용됐다.
이날 금융보안원은 상반기 GA 침해사고 원인 분석 결과도 공유했다. 금융권 디지털화로 AI·클라우드·모바일 등 IT 자산 의존도가 커지면서 외부 공격에 노출되는 지점이 크게 늘었고, 오픈소스·상용 솔루션 등 외부 제품의 취약점이 대규모 사고로 이어지고 있다는 것이다. 해커 조직이 점점 더 체계적으로 발전하며 공격 능력이 고도화하고 있다는 점도 위험 요인으로 지목됐다.
박상원 금보원장은 “이번 사원 가입 GA를 대상으로 11~12월 중 정보보호 컨설팅을 실시해 보안 취약점을 점검할 계획”이라며 “보안관제 기술 적용과 역량 강화 교육 등을 통해 GA의 실질적인 보안 역량 강화를 지원하겠다”고 강조했다.
금감원은 내년에 실시할 ‘대형 GA 내부통제 실태평가’에서 보안 부문의 평가 비중을 대폭 확대하고, 기본적 보안 조치를 소홀히 해 발생한 사고에 대해서는 엄정 대응한다는 방침이다.
