[단독]랜섬웨어에 뚫린 서울보증, 보안평가 4년간 'S등급'

보안 평가 불신 확산
자체 평가 후 금융보안원이 검증만
부실한 내부통제 체계도 도마에

[이데일리 김나경 기자] 지난달 랜섬웨어 공격으로 고객 개인정보 유출 우려가 잇따르고 있는 SGI서울보증이 최근 4년간 금융보안원 상시평가에서 최고등급을 받은 것으로 나타났다. 기관의 자체 평가를 보안원이 검증만 하는 구조라 실효성이 떨어진다는 지적이다. IT 전담인력을 매년 늘린 SGI서울보증에서 대형 사고가 발생해 이사회가 내부통제·리스크관리 기능을 제대로 못하고 있다는 지적도 나온다.

[이데일리 이미나 기자]

7일 SGI서울보증이 국회 정무위원회 강준현 더불어민주당 의원에게 제출한 자료에 따르면 서울보증은 2022년부터 올해까지 4년 연속 금융보안원 정보보호 상시평가에서 최고등급인 S등급(100점)을 받았다. 지난 2021년 A등급을 받은 것을 감안해도 5년 연속 ‘정보보호 우수기관’이라고 인증을 받은 것이다.

하지만 지난달 서울보증이 외부 랜섬웨어 공격에 속수무책으로 당한 데다 개인정보 유출 의혹이 잇따르고 있어 평가 실효성에 의문이 제기된다. 실제 금융보안원 상시평가는 사실상 ‘셀프평가’ 방식이다. 전문성을 가진 보안원이 직접 평가하는 것이 아니라 기관의 자체평가 결과를 제출받아 서면 점검하는 방식으로 이뤄진다. 기관이 서식에 맞게 개인신용정보 실태점검을 실시한 후 수행결과를 내면 보안원이 점검하고, 기관의 이의신청 등을 거쳐 최종 등급을 확정한다. 신용정보 이용·보호에 관한 법률 및 시행령상 상시평가를 해야하는 기관들이 이런 절차로 보안원 상시평가를 받고 있다. 보안원이 각 기관의 자체 수행결과만 점검하는 구조라 독립성을 갖춘 기관의 전문적인 평가로 보기 어렵다.

이번 81시간 전산 먹통 사고 이면에는 서울보증의 부실한 내부통제 체계도 있다. 지난해 말 기준 서울보증의 IT 전담인력은 110명으로 2021년(89명)에 비해 21명 늘었다. 전체 직원(1591명)의 약 7%가 IT 업무를 전담하고 있지만, 대형 IT사고 발생했다는 점에서다. 2024년 SGI서울보증 사업보고서를 살펴보면 지난해 서울보증의 내부통제위원회는 단 한 건의 회의만 열었다. 지난해 8월 22일 열린 내부통제위원회에서는 ‘위원장 선임의 건’, ‘위원장 직무대행 순위 결정의 건’ 등 3명 위원의 전체 동의로 2건을 의결했을 뿐이었다. 회사의 내부통제 리스크나 인력·조직 운영 체계, 내부통제 현안과 관련한 회의는 열리지 않았다.

서울보증의 역할과 회사 규모를 고려할 때 정보보호·내부통제 체계가 제대로 작동하지 않는다는 비판이 나오는 대목이다. 서울보증의 지난해 신규 보증서 발급 건수는 약 1352만건, 보증 규모는 350조원에 달한다. 강준현 의원은 “형식적인 보안 점검과 자체 평가에만 의존하는 관행이야말로 가장 큰 리스크”라며 “내부통제위원회가 제 역할을 하지 못하면서 조기 발견이 가능했던 보안 취약점을 놓치고 있는 것은 아닌지 전면적인 점검이 필요하다”고 강조했다.

서울보증 관계자는 “랜섬웨어 공격에 따른 대용량 내부정보 유출 정황은 없다”며 “이번 사고에 대한 조사를 진행 중이다. 조사 이후 시스템 미비점에 대한 보완책을 마련해 시행할 예정이다”고 말했다.

김나경 (giveank@edaily.co.kr)