보상 내걸었지만 "대규모 피해 처음…가이드라인 없어"보상 기준 없어 피해 산정에 시간 걸릴 듯… 장기화 우려금감원 출신 이명순 대표, 내부통제 공백·리스크 관리 실패 '도마 위'
  • ▲ 이명순 SGI서울보증 대표이사
    ▲ 이명순 SGI서울보증 대표이사
    SGI서울보증의 랜섬웨어 사태로 피해가 일파만파 커지는 가운데 사측이 부랴부랴 '전액 피해보상' 카드를 꺼냈다. 

    하지만 뉴데일리 취재 결과 SGI서울보증은 고객 피해보상에 대한 구체적인 사내 매뉴얼이 존재하지 않는 것으로 밝혀졌다. 

    피해보상을 위해선 일단 무엇을 피해로 규정하고 어떻게 피해를 측정할 지 등 기준이 마련돼야 하는데, SGI서울보증 측의 매뉴얼 부재로 피해보상이 지연될 수 있다는 우려가 나온다.

    16일 SGI서울보증에 따르면 회사는 전날 입장문을 내고 "이번 장애로 인한 피해 고객 및 기업에 대해서는 사실관계가 확인되고, 피해 금액이 확정될 경우 전액 보상할 예정이며, 이를 위한 전담 창구로 피해신고센터를 내일부터 운영할 계획"이라고 밝혔다. 

    이와 관련해 SGI서울보증이 피해보상을 실시하기 위한 매뉴얼이 있냐고 묻자 회사 관계자는 "이런 대규모 피해 케이스는 처음"이라며 "아직 구체적으로 뭔가 일정이나 가이드라인이 선 것은 아니다"라고 해명했다. 

    즉 SGI서울보증은 ▲사실관계 확인 ▲피해금액 확정 ▲피해보상 진행 등을 진행하겠다고 밝혔으나, 이에 대한 매뉴얼조차 없는 것이다.

    SGI서울보증은 1969년 설립된 50년 이상의 역사를 가진 기업이다. 대규모 고객 피해 사건이 이번이 처음이라고 하더라도 SK텔레콤 사례 등 사이버공격이 빈번한 최근 환경을 고려하면 사전 대응 체계조차 없다는 점은 납득하기 어렵다.

    또한 이명순 SGI서울보증 대표가 금융감독원 수석 부원장 출신임에도 불구하고 매뉴얼을 구축하지 못한 점에 비판의 화살이 쏠린다. 금융감독원은 소비자 보호가 목적인 기관인데, 여기 출신인 이 대표가 매뉴얼조차 마련하지 않는 등 리스크 관리에 실패한 셈이다.

    SGI서울보증의 전산 마비로 현재 5대 은행에서 보증서 없이 나간 전세대출이 600억원에 달하는 등 금융 시스템 전반으로 리스크가 확대될 조짐을 보이고 있다. 

    SGI서울보증의 연 보증액은 350조원 수준이다. 업계에 따르면 SGI서울보증은 정보보호 관리체계(ISMS)와 개인정보 보호인증(ISMS-P)를 받지 않은 것으로 알려졌다. 

    SGI서울보증이 ISMS 인증 등의 의무 대상은 아니나 보안에 민감한 기업 대부분 해당 인증을 받는다. ISMS 인증을 받았다고 해킹을 완전히 막을 수 있는 것은 아니지만 적어도 일정 수준의 보안 체계가 작동하고 있다는 평가 지표로 여겨진다.