.png)
|
하지만 지난달 서울보증이 외부 랜섬웨어 공격에 속수무책으로 당한 데다 개인정보 유출 의혹이 잇따르고 있어 평가 실효성에 의문이 제기된다. 실제 금융보안원 상시평가는 사실상 ‘셀프평가’ 방식이다. 전문성을 가진 보안원이 직접 평가하는 것이 아니라 기관의 자체평가 결과를 제출받아 서면 점검하는 방식으로 이뤄진다. 기관이 서식에 맞게 개인신용정보 실태점검을 실시한 후 수행결과를 내면 보안원이 점검하고, 기관의 이의신청 등을 거쳐 최종 등급을 확정한다. 신용정보 이용·보호에 관한 법률 및 시행령상 상시평가를 해야하는 기관들이 이런 절차로 보안원 상시평가를 받고 있다. 보안원이 각 기관의 자체 수행결과만 점검하는 구조라 독립성을 갖춘 기관의 전문적인 평가로 보기 어렵다.
이번 81시간 전산 먹통 사고 이면에는 서울보증의 부실한 내부통제 체계도 있다. 지난해 말 기준 서울보증의 IT 전담인력은 110명으로 2021년(89명)에 비해 21명 늘었다. 전체 직원(1591명)의 약 7%가 IT 업무를 전담하고 있지만, 대형 IT사고 발생했다는 점에서다. 2024년 SGI서울보증 사업보고서를 살펴보면 지난해 서울보증의 내부통제위원회는 단 한 건의 회의만 열었다. 지난해 8월 22일 열린 내부통제위원회에서는 ‘위원장 선임의 건’, ‘위원장 직무대행 순위 결정의 건’ 등 3명 위원의 전체 동의로 2건을 의결했을 뿐이었다. 회사의 내부통제 리스크나 인력·조직 운영 체계, 내부통제 현안과 관련한 회의는 열리지 않았다.
서울보증의 역할과 회사 규모를 고려할 때 정보보호·내부통제 체계가 제대로 작동하지 않는다는 비판이 나오는 대목이다. 서울보증의 지난해 신규 보증서 발급 건수는 약 1352만건, 보증 규모는 350조원에 달한다. 강준현 의원은 “형식적인 보안 점검과 자체 평가에만 의존하는 관행이야말로 가장 큰 리스크”라며 “내부통제위원회가 제 역할을 하지 못하면서 조기 발견이 가능했던 보안 취약점을 놓치고 있는 것은 아닌지 전면적인 점검이 필요하다”고 강조했다.
서울보증 관계자는 “랜섬웨어 공격에 따른 대용량 내부정보 유출 정황은 없다”며 “이번 사고에 대한 조사를 진행 중이다. 조사 이후 시스템 미비점에 대한 보완책을 마련해 시행할 예정이다”고 말했다.
![내 마당인 줄 알았는데…결국 남의 땅 된 이유[판례방]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/05/PS26051600318t.jpg)
