6개 밴사 보안 점검 결과 ‘미흡’ 평가

3개 밴사, 4개 항목 모두 ‘일부 미흡’
2017년 악성코드 감염 때보다 악화
법적으로 금융당국 관리·감독 ‘사각’
사고 발생 땐 고스란히 소비자 피해은행들이 현금자동입출금기(ATM)를 줄이는 틈을 타 편의점과 지하철역 등을 중심으로 급증하는 밴(VAN·부가통신) 사업자 운영 ATM의 보안관리 실태가 심각한 것으로 나타났다. 밴사 ATM은 금융 당국의 관리·감독 사각지대에 놓여 있어 개인정보 유출과 같은 보안 사고가 발생하면 소비자에게 피해가 고스란히 돌아간다.

19일 제윤경 더불어민주당 의원실이 금융감독원으로부터 받은 ‘밴사에 대한 은행 자체 보안점검 결과’에 따르면 지난해 9월 ATM을 운영하는 6개 밴사를 상대로 실시한 보안점검 결과 대부분의 평가 항목에서 ‘미흡하다’는 지적을 받았다.

점검 대상의 절반인 3개 밴사는 ▲관리적 보안 ▲물리적 보안 ▲네트워크 보안 ▲단말기 보안 등 4개 항목 모두에서 ‘일부 미흡’ 평가를 받았다. 2개 밴사는 3개 항목에서, 나머지 1개 밴사는 2개 항목에서 ‘일부 미흡’ 지적이 나왔다. 은행들은 지난 4월에도 개선 여부를 점검했지만 여전히 나아지지 않은 것으로 나타났다. 금감원 관계자는 “일부 취약점이 남아 있어 올해 보안 점검 때 이를 개선하도록 하고 있다”고 말했다.

앞서 2017년 청호이지캐쉬 ATM 기기 63대가 악성코드에 감염돼 고객 개인정보가 유출된 사고를 계기로 시중은행들은 주기적으로 밴사 ATM 시스템을 점검하고 있다. 금융 당국이 아닌 은행이 나선 이유는 법적으로 금융 당국의 직접적인 감독과 제재 권한이 제한돼 있기 때문이다.

밴사 ATM의 보안관리 실태는 개인정보 유출 사고가 났던 2017년보다 더 악화됐다. 2017년 3월 당시 7개 밴사를 상대로 실시한 긴급 보안점검 결과 4개사는 5개 항목 전부에서 ‘양호’ 평가를 받았다. 당시 점검 항목은 ▲CD·ATM 인터넷 차단 ▲백신 배포 서버 인터넷 차단 ▲백신 무결성 검증 ▲최신 백신 업데이트 ▲개인정보 저장 여부 등이다. 개인정보가 유출된 청호이지캐쉬는 당시 2개 항목에서 미흡하다는 평가를 받았다. 이후 은행은 점검 항목을 4개 부문 55개 항목으로 체계화·세분화했다.

일각에서는 금융보안원 전자금융보조업자 보안관리협의회에 참여하는 은행들이 자율적으로 점검 항목을 정하다 보니 점검 과정이 허술할 수 있다는 우려도 나온다. 이 은행들은 밴사로부터 수수료 수입의 일부를 받아 가만히 앉아서 돈을 버는 구조라 적극적으로 보안 문제에 신경쓰지 않는다는 것이다.

아울러 보안이 취약한 밴사 ATM에서 보안 사고가 발생했을 때 소비자 피해로 이어지지 않도록 금융 당국이 대책을 마련해야 한다는 지적이 나온다. 제 의원은 “금감원은 은행에 보안 점검을 맡겨 두고 보고도 제대로 받고 있지 않는 상황”이라며 “밴사와 계약 관계인 은행이 중립적으로 철저하게 점검할 것이라고 기대할 수 없다”고 지적했다. 이어 “보안 문제의 심각성 여부를 떠나 ATM 서비스가 금융서비스라는 금감원의 인식 자체가 부족하다”고 말했다.

장진복 기자 viviana49@seoul.co.kr

김주연 기자 justina@seoul.co.kr