금감원, '망분리 위반' 토스에 과태료

2021-04-22 19:12

[사진=연합뉴스]


모바일 금융 플랫폼 '토스'를 운영하는 비바리퍼블리카(이하 토스)가 고객의 중요 정보를 처리하는 전산 시스템을 '망분리'조차 하지 않은 채 관리해온 것으로 드러났다.

22일 금융감독원에 따르면 토스는 회사 전산실 안의 정보처리시스템을 외부통신망과 물리적으로 분리하지 않고 운영했다. 또 이 시스템을 운영·개발하기 위해 접속하는 단말기 역시 외부통신망과 연결된 망으로 썼다. 고객의 중요정보를 처리하는 시스템의 경우 별도의 컴퓨터로만 운영해야 함에도, 토스는 외부망에 연결되는 일반 컴퓨터로 해당 시스템을 운영했다는 의미다.

전자금융업자를 포함한 모든 금융회사는 전자금융거래법에 따라 회사 전산실 내에 위치한 정보처리시스템을 인터넷 등 외부통신망과 '물리적'으로 분리해야 한다. 정보처리시스템에 대한 운영 및 개발, 보안 목적으로 이 시스템에 접속하는 단말기 역시 별도의 망을 이용해 사용해야 한다.

금감원 관계자는 "고객이 접속하는 망과 직원이 사용하는 망 등 시스템군을 따로 운영하는 것도 망분리지만, 서비스 제공을 위해 운영하는 전산 서버를 '물리적으로' 완전히 분리하는 게 더 중요하다"며 "물리적으로 다른 망을 쓰지 않을 경우 외부 공격의 대상이 될 수 있다"고 설명했다.

적법한 절차 없이 클라우드를 이용한 것으로도 나타났다. 금융사가 클라우드를 이용하려면 이용 대상의 정보처리시스템 중요도를 자체적으로 평가해야 하는 등 절차를 거쳐야 한다. 또 고유식별정보 또는 개인신용정보를 처리하거나 전자금융거래 안전성에 중대한 영향을 미치는 경우엔 클라우드를 이용하기 전에 금감원에 보고해야 한다. 금감원 관계자는 "회사 내부 협업과 관련된 업무를 클라우드로 이용한 것으로 확인됐으며, 고객의 민감한 정보는 들어 있지 않았다"고 말했다.

금감원은 토스에 3720만원의 과태료를 부과했으며, 임원에게 제재(주의)를 내렸다. 토스가 금감원으로부터 제재를 받은 것은 이번이 처음이다.