[정보통신신문=박남수기자]
금융감독원의 감독을 받는 보험사 88.5%, 은행 35.0%는 정보보호 관리체계(ISMS) 또는 개인정보 보호(ISMS-P) 중 어느 하나도 인증을 받지 않은 것으로 나타났다.
ISMS와 ISMS-P는 정보통신망의 안정성ㆍ신뢰성 확보를 위한 관리적ㆍ기술적ㆍ물리적 보호조치 또는 개인정보 처리 및 보호와 관련한 일련의 조치가 관련 법에 부합하는지를 과기정통부와 개인정보보호위원회가 인증하는 제도다.
10일 국회 정무위원회 양정숙 의원이 금융감독원과 한국인터넷진흥원으로부터 제출받은 자료를 분석한 결과 은행 20곳 중 7곳, 보험사 61곳 중 54곳은 ISMS 또는 ISMS-P를 인증받지 않은 것으로 나타났다.
국책은행인 한국산업은행과 한국수출입은행이 인증을 받지 않은 것으로 나타났고, 한국스탠다드차타드은행, 한국씨티은행 등 알만한 대형은행들도 인증을 받지 않은 것으로 밝혀졌다. 지방은행으로서는 유일하게 제주은행이 인터넷은행 중에는 유일하게 토스뱅크이 인증을 받지 않았다.
반면, 금감원의 감독대상 은행이 아닌데도 불구하고 웰컴저축은행과 새마을금고중앙회는 ISMS 인증을 받아 정보통신망 안정화와 신뢰 제고를 꾀하고 있는 것으로 나타났다.
보험사들의 인증현황은 더욱 충격적이다. 금감원 감독대상 61개사 중 단 7개사만 ISMS, ISMS-P 인증을 받았고 나머지 54개사는 인증을 받지 않았기 때문이다.
ISMS 인증을 받은 보험사는 삼성화재, 현대해상, DB손해, 한화손해, KB손해 등 주로 대형 손해보험사들이었고, 생명보험사로는 삼성생명이 유일했다. 공공기관인 보험개발원도 ISMS 인증을 받았지만 인증받은 회사 수는 손에 꼽을 수준이다.
이들을 제외한 농협, 신한, 미래에셋, 하나생명 등 삼성생명을 제외한 모든 생명보험 회사가 아무 인증도 받지 않았고, 손해보험사 중에도 캐롯, 메리츠, 롯데 등 대형 보험사를 포함해 대부분 보험사들이 인증을 받지 않은 것으로 나타났다.
양정숙 의원은 “금융회사들은 신용정보보호법에 따라 금융소비자들의 개인정보와 정보시스템 보호에 관한 내용을 규율하고 있어서 ISMS와 ISMS-P 인증을 의무적으로 받아야 하는 것은 아니다”라면서도 “시중은행 3분의 2와 대형 화재보험사들은 자발적으로 인증을 받아 소비자 보호에 나서고 있는 점을 주목해야 한다”고 말했다.
이어 양 의원은 “금융회사는 고객들의 가장 중요한 개인정보를 포함 금융거래 정보를 다루고 있는 만큼, 정보통신망 안정화와 정보보안 사항은 자신의 생명과 같이 철저히 보호해야 하는 책임이자 의무”라며, “금융권에서 정보통신망과 정보보안에 구멍이 생기거나 장애가 발생하면 국가 경제 전체가 마비되는 대혼란을 초래한다”며 금융사들이 정보통신망 보호, 유지 관리를 최우선 과제로 삼아야 할 것이라고 지적했다.
