금융당국, 초대형 법인보험대리점 보안 강화 나서

금융당국이 초대형 법인보험대리점(GA)의 보안 강화에 나선다. 금융감독원과 금융보안원은 여의도 금융보안교육센터에서 초대형 GA 보안 강화 간담회를 열고, 최근 반복적으로 발생한 GA 대상 침해사고와 개인정보 유출 문제에 대한 대응 방향을 논의했다고 27일 밝혔다.

이번 간담회에는 금융보안원 사원으로 새롭게 가입한 14개 초대형 GA 대표가 참석했다. 이번 논의는 GA 업계의 낮은 보안 수준을 고려해 마련된 이례적 조치다. GA는 법적으로 금융회사가 아니라 원래 금융보안원 사원 대상에 포함되지 않지만 개인정보 처리 규모가 크고 사고가 반복되는 현실을 감안해 특별 절차를 거쳐 사원으로 편입됐다.

금감원은 올해 실시한 ‘대형 GA 내부통제 실태평가’에서 전산·보안 관련 항목 평균이 최하등급인 5등급으로 나타났다며, GA가 금융권 보안에서 가장 취약한 고리라고 지적했다. 특히 일부 GA에서는 ‘전사적 자원 관리(ERP)’ 등 외부 솔루션 취약점으로 인해 개인정보가 직접 노출되거나, 기초적인 접근통제조차 작동하지 않아 사고가 확산된 사례도 있었다. 금감원은 내년 평가에서 보안 항목을 대폭 확대해 전산 인력·체계 구축·운영관리 수준을 면밀히 점검하고 기본 예방조치를 소홀히 한 사고에 대해서는 엄정 대응하겠다는 입장을 밝혔다.

보험사와 GA 간 협업 구조도 재점검된다. 보험사는 GA를 판매 수탁사로 두고 있는 만큼 금감원은 보험사들이 GA의 보안 실태를 직접 살펴보고 개선을 요구할 수 있는 협의체 구성을 검토하고 있다. GA 전산 인력이 부족하고 보안 투자가 지연되는 상황에서 보험사의 감독적 역할이 현실적인 대안이 될 수 있다는 판단이다.

금융보안원은 최근 GA 침해사고의 공통 원인을 공유하며 사고 배경에는 디지털 전환으로 확대된 공격 표면, 오픈소스·상용 솔루션 취약점, 공격자 조직화 등이 복합적으로 작용했다고 분석했다. 해커조직은 공격 도구와 표적 정보를 빠르게 공유하며 공격 속도를 높이고 있고, GA는 자체 보안 체계가 취약해 침입 후 장기간 내부에서 활동을 허용하는 경우도 확인됐다.

금융보안원은 GA 보안 역량을 실질적으로 끌어올리기 위해 블라인드 모의훈련을 확대해 실전 대응 능력을 높이고, 위협 발생 시 관계기관 간 정보 공유 체계를 강화할 계획이다. 또한 사원으로 편입된 14개 GA를 대상으로 통합보안관제 적용, 보안 전문 교육, 11~12월 진행될 정보보호 컨설팅 등을 제공해 조기에 취약점을 점검하도록 지원한다.

박상원 금융보안원장은 “GA는 개인정보 규모와 외형에 비해 보안 투자가 부족한 분야라 업계 전반의 체질 개선이 필요하다”며 “사원 가입을 계기로 실질적인 보안 수준을 끌어올릴 수 있도록 지원할 것”이라고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network