제2금융권이 금융감독당국의 정보기술부문 실태평가 대상에서 아예 제외돼 온 것으로 드러났다. 카드사 캐피털사 등이 보안점검 '사각지대'에 방치돼 있어 현대캐피탈 고객 신용정보 유출과 같은 대형 금융사고가 발생한 게 아니냐는 지적이 나오고 있다.

금융당국 관계자는 11일 "전자금융감독 규정에 따라 은행 보험 증권 등 대형 금융회사들은 정보기술부문의 실태평가를 정기 종합검사 때 함께 받는다"며 "하지만 검사인력 부족으로 캐피털사와 같은 제2금융권은 평가 대상에서 빠져 있다"고 말했다. 현대캐피탈 역시 실태평가를 제대로 받은 적이 없다는 것이다.

전자금융감독 규정 29조에 따르면 금융감독원장은 금융회사에 대한 정보기술부문 실태평가를 실시한 뒤 △1등급(우수) △2등급(양호) △3등급(보통) △4등급(취약) △5등급(위험) 등 5단계로 구분해 관리하도록 돼 있다. 평가 대상을 금감원장이 정하도록 돼 있지만 지금까지 제2금융권은 포함되지 않았다.

금융당국은 이번 사태를 보안시스템의 위기로 규정하고 대책 마련에 들어갔다. 금감원은 이날 전 금융회사가 해킹방지 및 정보보호 대책 이행실태를 자체 점검해 결과를 보고하라는 공문을 보냈다. 금융위는 이와 별도로 보안시스템 강화 대책 마련에 착수했다. 금융위 관계자는 "업계 1위인 현대캐피탈의 보안망이 뚫렸다는 사실은 제2금융권 전반이 취약하다는 증거"라며 "은행 증권 보험 등을 포함해 제2금융권 전반을 아우르는 보안강화 대책을 내놓겠다"고 말했다.

금융회사들의 대응 수준을 다시 정비해야 한다는 지적도 많다. 금융당국은 지난해 디도스 공격 사태 이후 각 금융회사에 정보최고책임자(CIO)와 보안최고책임자(CSO) 외에 정보보안최고책임자(CISO)를 두도록 권고했다. 하지만 현재 은행 증권 보험 카드 등 상당수 금융회사들은 별도로 CISO를 두지 않고 있다.

한편 현대캐피탈 고객정보 해킹 사건이 일파만파로 확산되자 금융사들은 긴급 보안점검에 들어갔다. 우리금융지주는 정보기술(IT) 자회사 우리금융정보시스템을 통해 자회사 우리파이낸셜의 정보보안 실태조사에 나섰다. 조덕제 우리금융정보시스템 부사장은 "우리파이낸셜의 정보 보완을 은행권 수준으로 높여 관리하고 있다"고 밝혔다.

은행권에 비해 취약한 보완시스템을 가진 카드 저축은행 등 제2금융권 역시 지난 주말 긴급 점검에 들어갔다. 특히 65개 저축은행의 정보보안망을 통합 관리하는 저축은행중앙회는 주말 담당직원이 출근해 점검에 나섰고,회원사엔 해킹에 주의할 것을 권고하기도 했다.

류시훈/안대규 기자 bada@hankyung.com