금융감독원의 감독을 받는 보험사 88.5%, 은행 35.0%는 정보보호 관리체계(ISMS) 또는 개인정보보호(ISMS-P) 중 어느 하나도 인증을 받지 않은 것으로 나타났습니다.
ISMS와 ISMS-P는 정보통신망의 안정성·신뢰성 확보를 위한 관리적·기술적·물리적 보호조치 또는 개인정보 처리 및 보호와 관련한 일련의 조치가 관련 법에 부합하는지를 과학기술정보통신부와 개인정보보호위원회가 인증하는 제도입니다.
10일 국회 정무위원회 양정숙 의원이 금융감독원과 한국인터넷진흥원으로부터 제출받은 자료를 분석한 결과 은행 20곳 중 7곳, 보험사 61곳 중 54곳은 ISMS 또는 ISMS-P를 인증받지 않은 것으로 나타났습니다.
국책은행 가운데는 한국산업은행과 한국수출입은행이 인증을 받지 않은 것으로 나타났으며, 한국스탠다드차타드은행, 한국씨티은행 등 누구나 알만한 대형은행들도 인증을 받지 않은 것으로 밝혀졌습니다. 지방은행으로서는 제주은행이, 인터넷은행 중에는 토스뱅크가 각각 인증을 받지 않았습니다.
반면, 금감원의 감독대상 은행이 아닌데도 불구하고 웰컴저축은행과 새마을금고중앙회는 ISMS 인증을 받아 정보통신망 안정화와 신뢰 제고를 꾀하고 있는 것으로 나타났습니다.
보험사들의 인증현황을 보면, 금감원 감독대상 61개사 중 단 7개사만 ISMS, ISMS-P 인증을 받았고 나머지 54개사는 인증을 받지 않았습니다.
ISMS 인증을 받은 보험사는 삼성화재, 현대해상, DB손해보험, 한화손해보험, KB손해보험 등 주로 대형 손해보험사들이었고, 생명보험사로는 삼성생명이 유일했습니다. 공공기관인 보험개발원도 ISMS 인증을 받았지만 인증받은 회사 수는 손에 꼽을 수준이었습니다.
이들을 제외한 농협, 신한, 미래에셋, 하나생명 등 삼성생명을 제외한 모든 생명보험 회사가 아무런 인증도 받지 않았으며, 손해보험사 중에도 캐롯, 메리츠, 롯데 등 대형 보험사를 포함해 대부분 보험사들도 아무런 인증이 없는 것으로 조사됐습니다.
양정숙 의원은 “금융회사들은 신용정보보호법에 따라 금융소비자들의 개인정보와 정보시스템 보호에 관한 내용을 규율하고 있어 ISMS와 ISMS-P 인증을 의무적으로 받아야 하는 것은 아니”라면서도 “시중은행 3분의 2와 대형 화재보험사들은 자발적으로 인증을 받아 소비자 보호에 나서고 있는 점을 주목해야 한다”고 말했습니다.
이어 “금융회사는 고객들의 가장 중요한 개인정보를 포함해 금융거래 정보를 다루고 있는 만큼, 정보통신망 안정화와 정보보안 사항은 자신의 생명과 같이 철저히 보호해야 하는 책임이자 의무”라며, “금융권에서 정보통신망과 정보보안에 구멍이 생기거나 장애가 발생하면 국가 경제 전체가 마비되는 대혼란을 초래한다”면서 금융사들이 정보통신망 보호와 유지 관리를 최우선 과제로 삼아야 할 것이라고 지적했습니다.
출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=110527&page=1&kind=3&search=title&find=)