금융보안원, 8월 12일 롯데카드에 ISMS-P 보안인증 수여겨우 이틀 뒤인 8월 14일, 롯데카드서 최초 해킹사고 발생ISMS-P 인증 '유명무실' … 인증받은 SK텔레콤, 예스24도 털려
-
- ▲ 박상원 금융보안원장ⓒ연합
롯데카드 해킹 불과 이틀전 금융당국에서 회사에게 '보안 합격점'을 내린 것으로 드러났다.금융보안원은 지난달 12일 'ISMS-P'라는 국내 최고 수준의 보안인증을 롯데카드에 부여했는데, 이틀 뒤인 14일에 롯데카드에서 최초 해킹사고가 발생한 것.롯데카드 뿐만 아니라 SK텔레콤, 예스24 등 ISMS-P 보안인증을 획득한 기업들이 연이어 해킹을 당하자 일각에선 금융보안원이 제 구실을 못하고 있다는 비판이 제기된다.◇ 허수아비 보안인증 ISMS-P3일 롯데카드에 따르면 회사는 지난달 12일 금융보안원으로부터 ISMS-P 인증을 획득했다.ISMS-P란 '정보보호 및 개인정보보호 관리 체계'의 영문 약자로, 기업이 사이버 침해 위협에 효과적으로 대응할 수 있는지를 심사한다. 국내 최고 수준의 보안인증으로 평가받는다.금융보안원은 지난 달 12일 롯데카드에 ISMS-P 보안인증을 수여할 때 롯데카드의 ▲관리체계 수립 및 운영 ▲보호대책 요구사항 ▲개인정보 처리 단계별 요구사항 총 3개 영역에서 101개 인증기준을 심사했다.수여식엔 최용혁 롯데카드 CISO(정보보호 최고책임자)와 오중효 금융보안원 자율보안본부·디지털전략 본부장이 참석하는 등 ISMS-P는 업계에서 신뢰받는 보안인증이다.◇ 막지도, 알아차리지도 못한 보안 체계이같은 촘촘한 심사에도 불구하고 불과 이틀 뒤인 14일에 회원이 무려 1000만명에 육박하는 롯데카드에서 해킹이 발생한 것이다.금융감독원이 지난 2일 국회 정무위원회 소속 강민국 의원실에 보고한 자료에 따르면 롯데카드에서 최초로 해킹사고가 발생한 시점은 지난달 14일 오후 7시 21분 쯤이다.14일에 이어 15일에도 온라인 결제 서버 해킹이 이뤄졌는데, 실제 내부 파일이 외부로 반출된 것은 2회로 파악됐다.문제는 롯데카드가 해킹 사고를 인지한 시점은 2주가 넘게 지난 지난달 31일 정오였다는 것이다.즉 금융보안원의 ISMS-P 심사를 받은 롯데카드가 해킹 방어에도 실패하고, 인지에도 실패했다는 뜻이다.ISMS-P 기준이 허술한 것은 아닌지, 롯데카드가 ISMS-P 보안인증을 받았음에도 해킹을 당한 원인이 무엇인지 묻자 금융보안원 관계자는 "롯데카드 해킹 원인을 파악 중"이라며 대답을 피했다.◇ 금감원 출신 금융보안위원장 … 임기 첫해부터 '대형사고'롯데카드가 금융보안원의 ISMS-P 인증을 받고 해킹을 당한 가운데 해당 인증을 받은 다른 사례들도 눈길을 끈다. -
- ▲ 금융보안원ⓒ금융보안원
SK텔레콤은 ISMS-P 보안인증을 보유하고 있음에도 지난 4월 해킹을 당해 유심 정보가 유출됐다. 예스24도 ISMS-P 인증을 받았지만 지난 6월 랜섬웨어 해킹을 당했다.곽진 아주대 사이버보안학과 교수는 "ISMS-P는 사전 점검하는 정도의 개념으로 파악해야 한다”며 “해당 인증을 받았다고 시스템 자체가 완전히 안전하다고 말할 수는 없다”고 ISMS-P의 실효성에 의문을 제기했다.현재 금융보안원장은 박상원 전 금융감독원 부원장보가 맡고 있으며, 임기는 2028년 1월 2일까지다.박 신임 원장은 1970년 충북 청주 출신으로 세광고, 연세대 경제학과를 졸업한 뒤 1991년 한국은행에 입행했으며 금감원에서 금융그룹감독실장, 은행리스크업무실장, 비서실장 등을 맡았다.2022년 기획·경영 담당 부원장보로 임명됐으며, 지난해 2월부터는 중소금융 부문 부원장보를 맡다 지난해 11월 퇴임했다.새마을금고 부실 정리와 저축은행 등 2금융권 건전성 강화 등 리스크관리 측면에서 강점을 가지고 있지만 해킹 보안 관련 실무 능력은 검증되지 않았다는 게 업계 시각이다.금융보안원 관계자는 "금융보안원은 금융사를 대상으로만 ISMS-P를 발급한다"며 "SK텔레콤과 예스24에 ISMS-P를 발급한 곳은 KISA(한국인터넷진흥원)이며 금융보안원과 무관하다"고 해명했다
뉴데일리 뉴스레터
