금융감독원이 보안 관리 사각지대에 있던 법인보험대리점(GA·General Agency)에 대한 점검을 강화한다. 금감원은 보안 점검 기준을 마련해 GA의 보안 실태를 살펴볼 방침이다. GA에 업무를 맡긴 보험사가 GA를 점검하는 방안도 검토되고 있다.
9일 금융 당국에 따르면 금감원은 GA를 포함해 금융사의 업무를 위탁받는 기업의 IT 보안 실태를 점검하기 위해 기준을 마련할 예정이다. 2차 인증 시스템 도입 여부 등 외부인의 내부망 접근을 효과적으로 차단하고 있는지 등을 살펴볼 것으로 예상된다.
연내 기준이 마련되면 금감원은 직접 GA를 점검하거나 보험사에 점검을 맡길 계획이다. 금감원이 작년 11월 공개한 '보험회사의 제3자 리스크 관리 가이드라인'에 따르면 보험사는 GA에 상품을 판매 위탁하는 과정에서 위험 요소가 있는지 체계적으로 측정해야 한다.
보험연구원에 따르면 현재 전국의 GA 수는 4000여 개다. 이 중 60%가량은 금융 당국의 요청이 있으면 금융보안원이 점검한다. 나머지 40%는 인력 등의 한계로 보안 점검이 제대로 이뤄지지 않고 있다.
이번 기준 마련은 금융사를 겨냥한 사이버 공격이 잇따르는 상황에서, 대형 보험사에 비해 상대적으로 보안이 취약한 GA에 대한 관리·감독을 강화하려는 취지로 해석된다. 지난해 롯데카드에서는 약 297만명의 개인 정보가 유출됐고, 가상 자산 거래소 업비트는 외부 공격으로 400억원 규모의 회원 자산이 유출되는 사고를 겪었다.
GA는 내부 통제도 미흡한 편이다. 금감원이 소속 설계사 500명 이상, 1000명 미만 GA의 절반 이상인 52%가 내부 통제 등급 4등급(취약)과 5등급(위험)으로 분류됐다. 평가 항목에는 전산 시스템 구축·운영 여부도 포함돼 있다. 금감원 관계자는 "기준안이 나오는 대로 보안 점검 방식 등을 정할 계획"이라고 말했다.