금융감독원이 빅테크 기업에 솜방망이 처분을 내리며 '친시장' 기조가 이어지고 있다는 지적이 나온다.
네이버파이낸셜 마이데이터 서비스에서 지난해 12월 개인정보 유출 사고가 터졌지만, 관련 조사에 나서지 않고 흐지부지돼서다. 당시 정은보 금감원장은 필요하다면 해당 기업이나 제도 차원의 개선이 필요할 것이라 강조한 바 있다.
1일 이투데이 취재에 따르면 금감원은 네이버파이낸셜의 당시 시스템 오류나 후속조치에 대한 조사를 진행하지 않았다.
지난해 12월 28일 네이버파이낸셜의 마이데이터 서비스 시행 첫날 개인정보 유출 사고가 발생했다. 한 고객의 은행, 증권, 카드 등 계좌번호뿐 아니라 송금이체내역, 주식거래정보가 다른 고객의 마이데이터 화면에 노출된 것이다. 당시 약 100명의 피해규모로 추산됐다.
당시 네이버파이낸셜은 사고 대상자에게만 조치 완료를 알릴 뿐 전체 이용자를 대상으로 사고 내용을 공지하지 않았다.
문제가 불거지자 금융당국은 구두 경고만 한 것으로 알려졌다. 이어 사고 접수를 받아 금융사 검사를 거친 뒤 적절한 조치를 취할 예정이라고 밝혔지만, 아직도 검사는 이뤄지지 않고 있다.
금감원 관계자는 "네이버파이낸셜 정보유출 사건을 별도로 검사해야 할지, 마이데이터 관련 유사한 서비스를 하는 기업들을 묶어서 검사 해야할지 살펴보는 중"이라면서도 "현재 오픈 API로 사업을 진행하고 있는데 이 부분에 대한 보안은 상당히 높은 수준"이라고 말했다.
금감원은 2일 마이데이터 사업자에 대한 검사 계획을 발표할 예정이다.
금융당국의 자신감에도 마이데이터를 둘러싼 보안 문제는 꾸준히 뇌관으로 자리잡을 것이라 보안 전문가들는 입을 모았다.
현재 마이데이터는 스크래핑이 아닌 오픈 API를 타고 진행 중이다. 해당 금융사의 전용선을 이용하는 방식이다. 금융당국이 참가기관으로 살펴보고 있지만 실제 데이터는 개별 금융사가 직접 관리하는 형태다.
문제는 금융 당국이나 보안 조직이 문제가 발생해도 탐지하거나 재발을 방지할 수 없다는 것이다. 마이데이터 사업자가 직접 비즈니스 로직을 공개하지 않는 이상 확인이 불가능해서다.
보안관제 전문가 A씨는 "네이버파이낸셜 사례처럼 비즈니스 로직상 오류가 나서 다른 이의 정보가 노출된다 한들 사전에 기술적으로 잡아낼 수 없다"라며 "개별사 보안 수준에 맡겨야 하는 정도"라고 우려를 표했다.
특히 각 사의 보안 수준이 다른 만큼 금융 당국이 보다 면밀하게 조치해야 한다 당부하기도 했다.
다른 보안 전문가 B씨는 "사업자 중 시스템을 이루는 기술들을 자체 개발하기보다 솔루션을 사와서 붙이는 경우가 많은데, 솔루션 자체 취약점에 대한 점검도 필요하다"라며 "써드 파티에 대한 확인이 전제돼야 한다"라고 조언했다.
다른 보안 전문가 C씨는 "아무래도 마이데이터 서비스 시작 초기다보니 금융당국이 고삐를 죄기보단 풀어주는 모양"이라면서도 "소 잃고 외양간 고치기보다 사전에 문제를 예방할 필요가 있다"라고 말을 보탰다.