자체 보안성 심의 미수행, 공개용 웹서버 관리대책 이행 위반
해킹 가능성 인지 불구 해외IP 차단 등 대응 조치 미흡
 |
| ▲ 키움예스저축은행 |
키움예스저축은행이 전자금융거래 안정성 확보를 부실하게 해 감독당국으로 부터 기관주의와 과태료 제재를 받았다.
3일 감독당국에 따르면 최근 금융감독원은 키움예스저축은행이 자체 보안성 심의 미수행, 공개용 웹서버 관리대책 이행 위반, 해킹 등 방지대책 이행 등을 위반한 사실을 확인하고 기관주의와 과태료 5000만원의 제재를 내렸다. 관련 임원 1명과 직원1명도 각각 주의와 견책 조치를 받았다.
금융회사는 전자금융거래법과 관련규정에 따라 정보통신망을 이용해 신규 전자금융업무를 수행하는경우 자체 보안성심의를 해야 하는데도 키움예스저축은행은 시스템 가동시점 부터 2021년 10월 까지 이를 수행하지 않았다.
또, 공개용 웹서버가 해킹공격에 노출되지 않도록 조치하고 개인신용정보처리시스템 침입차단시스템과 탐지시스템을 설치, 보호해야 하는데도 2020년 1월부터 2021년 10월 시스템에 접속한 해외 IP에 대한 모니터링을 수행하지 않았고 부주의로 해킹 방지기능이 정상 동작하지 않도록 했다가 뒤늦게 웹방화벽을 설치했다.
금융보안원 침해사고 조사 결과 고객정보 유출 관련 해킹공격에 이용된 다수의 IP가 해외 IP로 확인됐고, 민원인의 제보로 해킹 발생 가능성을 인지했음에도 해외IP 차단 등의 대응조치를 즉각 수행하지 않았다.
키움예스저축은행은 또 해킹 등 방지대책 이행의무를 위반해 전산실 내 위치한 정보처리시스템을 인터넷등외부통신망으로부터 물리적으로 분리하지 않았다. 2020년1월~2021년10월 정보보호시스템(방화벽)을 운영하면서 인터넷에서 일부 불필요한 서비스번호를 통한 접속이 이루어졌고 이후에야 침입방지시스템에 차단 정책을 적용해 인터넷 접속을 차단했다.
금융감독원은 "키움예스저축은행이 IT보안 강화를 위한 인력충원 등 운영방식 개선이 필요하다"며 경영에 유의토록 했다.
키움예스저축은행은 자체 정보처리시스템 관리와 저축은행중앙회 통합전산망 연계 등을위한 IT인력을 운영하고 있으나, 전체 IT인력 중 정보보호최고책임자(CISO) 외에 보안 전담인력이 없어 보안장비 관리와 해킹공격 모니터링 등 정보보호 실무 업무를 수행하기에 한계가 있는 것으로 조사됐다.
[메가경제=김형규 기자]
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
