감사원 "미래부, 휴대폰 소액결제 사기 사실상 방치"

휴대폰 소액결제 사기를 미래창조과학부가 사실상 방치해 왔다는 감사원 감사 결과가 나왔다. 감사원은 17일 지난해 11~12월 미래부와 금융위, 금감원 등을 대상으로 금융권 정보보호 및 사이버안전 관리·감독 실태를 점검한 결과 총 18건의 감사결과를 확정했다고 밝혔다. 이번 감사는 카드사 개인정보 대량유출 사고가 발생하기 전 농협, 신한은행 등 금융권 해킹사고가 잇따른 데 대한 점검차 실시됐다.

감사원에 따르면 결제대행업체(휴대폰 소액결제)를 관리·감독하는 미래부는 6개 소액결제 업체가 미등록 상태로 최장 5년에 걸쳐 불법영업을 했지만 이를 파악도 못하고 있었다. 미등록 업체 중 ㄱ사는 음란물을 유통한 11개 불법 콘텐츠제공업체(CP)의 결제대행을 맡고 있었는데도 미래부는 서비스 제공을 제한하지 않은 것으로 드러났다.

미래부는 자동결제, 무료이벤트, 회원가입 즉시 결제 등 불법 CP들의 결제사기로 인한 피해액이 2010년부터 지난해 9월까지 46억여원에 달하는데도 소액결제 업체와 CP 사이의 서비스 제공은 자율에 맡겨야 한다는 이유로 방치했다. 또 문자메시지(SMS) 인증번호를 탈취해 이용자 몰래 돈을 빼가는 ‘스미싱’ 피해가 급증하는데도 소액결제 업체의 편의성을 보장한다는 이유를 들어 인증절차 강화에 소홀했다.

금감원은 ‘전자금융감독규정’에서 규정하고 있는 사이버안전 관련 30개 조항 가운데 ‘해킹 방지대책’이나 ‘정보처리시스템 보호대책’ 등 15개 항목을 반영하지 않고 운영해 왔다.

감사원은 전자금융감독규정을 운영하고 있는 금융위에 대해서는 스마트폰 애플리케이션(앱) 보안관리 관련 규정을 제대로 마련하지 않았다고 지적했다. 금융사의 주식거래, 스마트폰 뱅킹 등 72개 모바일 앱에 대한 감사원의 점검 결과 38개 앱에서 위·변조 가능성과 소스코드 내 중요정보 노출 등 54개 보안취약점이 확인됐다. 금융위와 금감원은 사이버 안전 관련 사고발생 정보를 금융정보공유분석센터(금융ISAC) 등 유관기관과 공유도 하지 않았다.

이 밖에 모 은행 등 5개 금융사는 용역업체 직원 PC에 주요정보를 저장하거나 개발시스템을 통해 운영시스템에 접속할 수 있게 방치하는 등 용역업체에 대한 보안관리가 취약한 것으로 조사됐다. 이는 카드사 개인정보 대량유출 사건이 전산프로그램개발을 담당한 외주직원에게서 비롯된 것처럼 용역업체의 서버 접속에 따른 고객정보 유출 가능성이 상존한다는 의미라고 감사원은 설명했다.

전체기사 원문 - http://news.nate.com/view/20140417n33000?modit=1397747769