[재경일보 박성민 기자] 홈페이지나 내부 업무 시스템 비밀번호 관리 등 정보처리시스템 보안을 허술하게 한 카드사·생명보험사가 무더기 제재를 받았다.

금융감독원은 지난해 15개 금융 회사를 검사한 결과 신한카드와 신한생명, 푸르덴셜생명, PCA생명 등 4곳이 전자금융감독규정을 어긴 사실을 적발해 실무자에 주의 처분을 내렸다고 12일 밝혔다.

이 가운데 신한카드는 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 '구조화조회언어(SQL) 주입공격'을 예방하는 데 필요한 프로그램을 설치하지 않아 해킹 공격에 취약한 것으로 나타났다.

SQL 주입공격은 웹 클라이언트의 반환 메시지를 이용해 불법 인증을 받고 정보를 유출하는 해킹 방식이다.

신한생명과 푸르덴셜생명은 외부인이 공인인증서 등 추가 인증 없이 아이디와 비밀번호만으로 홈페이지 관리자 페이지에 접속할 수 있도록 시스템을 운영한 것으로 드러났다.

푸르덴셜생명은 자회사 통신망을 자사 내부 통신망과 분리하지 않은 것도 문제로 지적됐다. 금융기관은 정보통신망을 해킹 등에서 보호하고자 침입차단시스템 등 정보보호시스템을 설치하고 내부통신망을 다른 기관 내부통신망과 분리해야 한다.

PCA생명은 내부업무시스템의 비밀번호를 암호화하지 않아 IT 담당자가 내부 직원의 개인정보에 접근할 수 있는 여지를 뒀다.

금감원 관계자는 보안 규정을 제대로 지키지 않은 이들 카드 보험사의 실무 담당자에 책임을 물었다고 설명했다.