[2025 국감 체크] 금융보안원, 롯데카드 사태 과오 인정…웹로직 항목 누락

한국금융경제신문=옥준석 기자 | 최근 롯데카드 고객정보 유출 해킹 사건의 원인이 전자금융기반시설을 운영하는 48개의 오라클 웹로직 서버 중 한 대가 자산 목록에서 누락되며 보안 패치 등 필수 조치가 이뤄지지 않은 점으로 드러났다. 이에 대해 금융보안원을 비롯한 금융감독당국이 안일하게 대응했다는 지적이 제기됐다.

21일 김남근 더불어민주당 의원실에 따르면 금융보안원은 지난해 8월과 10월 두 차례에 걸쳐 웹로직의 보안 취약점을 경고하고 보안 조치를 취할 것을 권고했지만, 금융기관 자체 보안 점검항목으로 배포하는 ‘전자금융기반시설 취약점 분석·평가 내용’에는 웹로직 관련 항목이 반영되지 않았다.

또한 지난해 웹로직 취약점 공격과 관련해 금융보안원이 2018년 최초 권고 후 금융회사들이 웹로직 보안 패치 업데이트 등 대비했는지 점검했다면 공격 시도나 롯데카드 사태가 발생하지 않았을 것이라는 지적이 나왔다.

지난 20일 정무위원회 국정감사에서 김 의원은 “이번 해커의 공격을 당한 웹로직 프로그램이 롯데카드가 관리하는 정보보안 자산목록에서 누락돼 보안 점검대상에 포함되지 않아 7년간 방치됐다”며 “유사한 관리 사각지대가 없는지 금융권 전반에 대한 실태 점검을 통해 국민적 우려를 불식시켜야 한다”고 말했다.

이에 이억원 금융위원회 위원장은 “금융권의 보안에 대한 인식과 경각심 정도가 매우 낮다”며 “취약점 분석·평가 항목 미포함, 사후 조치 점검 미비 등 금융보안원의 업무상 과오를 인정하고, 현재 진행하고 있는 261개 금융사 전체에 대한 전수 검사 과정에서 관리 사각지대 문제를 감안하겠다”고 답했다.