지난 1월 외부 직원이 국민·농협·롯데 등 3개 카드사 고객 정보 1억400만건을 빼돌려 초대형 개인 정보 유출 사건이 발생했는데, 기업은행 등 다른 금융회사들에서도 고객 정보가 외부 직원에 무방비로 노출돼 있었던 것으로 조사됐다.
또 산업·우리·농협은행의 경우 각종 재해에 대비해 운영하는 전산복구센터에 필요 인력의 10% 정도만 배치하고, 재난에 대비한 시스템 성능 실험도 제대로 하지 않고 있는 것으로 드러났다. 또 신종 결제 수단인 은행과 증권사 등의 애플리케이션의 경우 대부분 위·변조에 무방비 상태인 것으로 드러났다.
이 같은 조사 결과는 개인 정보 유출 사건을 계기로, 감사원이 실태 점검을 실시한 결과 드러난 것이다. 금융감독원은 하반기 중 해당 금융기관에 IT 검사 인력을 대거 투입해 검사에 나서기로 했다.
2일 감사원과 금융당국에 따르면 IBK기업은행의 경우 용역회사 등에서 파견한 외주 인력 전용 컴퓨터에 은행의 정보통신 관련 기밀자료가 저장돼 있었던 것으로 드러났다. 적발된 기업은행의 외주 인력용 노트북에는 은행의 기밀자료인 전산망(네트워크) 구성도와 보안 취약점 분석·평가보고서, 인터넷망을 통한 외부 침입을 차단하는 방화벽 IP(인터넷망 등에 연결된 모든 컴퓨터의 개별 식별 번호)의 할당 내역이 담겨 있었다.
또 상호저축은행중앙회의 경우 외주 용역업체 직원이 개발용 서버를 이용해 은행의 고객 정보가 담겨 있는 저장소에 침투할 수 있었고, 맘만 먹으면 고객 정보를 들여다볼 수 있는 것은 물론 수정·삽입·삭제까지 할 수 있었다.
산업·우리·광주·경남·NH농협·기업은행에서는 주(主)전산센터가 화재·홍수 등으로 마비되더라도 인터넷 뱅킹이나 각종 결제 시스템이 작동할 수 있도록 운영하는 '재해복구센터'를 부실하게 운영하고 있는 것으로 드러났다. 이들 은행의 재해복구센터 운용 인력은 실제 필요 인력(평균 42명)의 10% 수준인 4명에 불과했다.
금융회사들이 신종 결제·거래 수단으로 도입한 스마트폰 애플리케이션도 위·변조 가능성에 무방비 상태인 것으로 드러났다. 신한은행 스마트펀드센터(Smart Fund Center), 하나 엔뱅크(N Bank), 한국투자증권 이프랜드스마트(eFriend Smart), 현대해상 운전자보험 등 총 27개 애플리케이션이 원본 프로그램(소스코드) 위·변조가 가능했다. 해커 등이 범죄 대상으로 삼으면 허위로 결제 금액·내역을 조작할 수 있다는 의미다.
감사원 감사에서 적발된 금융회사들은 애플리케이션 위·변조방지 조치를 하고, IT시스템 개발 관련 외주인력에 대한 보안대책을 마련하는 등 뒤늦게 대책을 마련한 것으로 알려졌다.