랜섬웨어 공격을 받은 SGI서울보증보험의 시스템 장애로 은행권 대출도 차질을 빚고 있는 가운데 SGI서울보증이 정보보호 및 개인정보 보호 관리체계 인증(ISMS·ISMS-P)도 받지 않은 것으로 드러나 논란이다.

16일 금융권에 따르면 SGI서울보증은 정보보호 및 개인정보 보호 관리체계 인증(ISMS·ISMS-P)을 받지 않았다.

ISMS·ISMS-P는 기업 혹은 기관이 정보보호·개인정보보호를 위한 체계를 갖추고 적절한 조치를 취하고 있는지 한국인터넷진흥원 등 기관이 확인해 인증서를 발급해 주는 제도다.

금융기관인 서울보증은 ISMS 인증 등의 의무 대상이 아니다. 하지만 해당 인증을 받으면 일정 수준의 보안 체계가 작동하고 있다는 평가 지표로 여겨지기 때문에 보안에 민감한 기업들은 인증을 받는다.

실제로 서울보증도 지난 3월 상장 당시 제출했던 증권신고서에서 'ISMS 인증을 추진함으로써 금융 보안 위협에 대응하고자 한다'고 밝혔지만, 이번 사고 시점까지 인증을 받지 못했다.

물론 ISMS 인증을 받았다고 해킹을 완전히 막을 수 있는 것은 아니다. 실제 최근 해킹 피해를 입은 SKT와 예스24의 경우도 ISMS-P 인증을 받았는데도 보안에서 취약점이 발견됐기 때문이다.

랜섬웨어 공격으로 서울보증의 보증이 필요한 주택담보대출, 전세보증대출 등 은행 대출 업무도 연쇄적으로 차질이 이어지고 있다. KB국민·신한 등 5대 시중은행은 장애 전 서울보증이 1차 검증한 경우만 대출을 실행하고 있고, 서울보증이 보증을 설 수 없는 장애 이후부터는 신규 대출 접수가 아예 막혔다. 특히, 5억 원 이상의 전세대출 보증은 SGI서울보증이 유일해 전세 수요자들의 혼란이 상당한 것으로 알려졌다.

서울보증의 시스템 장애 복구 이후 금융당국의 검사와 제재도 이어질 것으로 보인다. '전자금융감독규정'에 따르면 전자금융사고 시 핵심업무의 복구목표시간은 3시간 이내로 하되, '보험업법'에 의한 보험사 핵심업무의 경우에는 24시간 이내로 하도록 돼 있다. 서울보증은 시스템 장애가 이틀째를 넘어선 상황이다. 이에 따라 시스템 복구 이후 금감원 검사와 영업정지 또는 1000만 원에서 5000만 원 사이의 과징금 제재를 피하기 어려울 전망이다.

서울보증은 16일부터 피해신고센터를 운영하고 시스템 장애로 인한 피해 고객 및 기업에 사실관계를 확인해 피해 금액이 확정될 경우 전액 보상 예정이라고 밝혔다.

서울보증은 "랜섬웨어 공격으로 인한 시스템 장애의 신속한 복구 및 고객 피해 최소화를 위해 모든 역량을 동원해 나갈 것"이라며 "고객 불편 최소화를 위한 여러 대응에 나서고 있으며, 특히 전세대출, 휴대폰 할부 개통의 경우, 은행 및 통신사 등과 협력해 보증서를 사후 보완하는 방식으로 긴급 운영 중이다"고 밝혔다.




jcppark@news1.kr