롯데카드 대규모 해킹 사태를 계기로 금융권의 전산보안 관련 신고 의무가 한층 강화될 전망이다. 침해사고 발생 유형에 악성코드 감염 항목을 추가해, 직접적인 고객 피해가 없어도 악성코드 감염만으로 금융당국에 신고하도록 하는 전자금융거래법 개정안이 발의됐기 때문이다.

6일 금융권에 따르면 국회에서 전자금융시설의 침해사고 발생 유형 범위를 확장해 금융회사 등의 신고 의무를 강화하는 '전자금융거래법 일부개정법률안'이 발의됐다. 더불어민주당 김정호 의원이 대표 발의했다.

현행 전자금융법은 전자금융기반시설의 데이터 파괴 또는 운영 방해를 목적으로 컴퓨터 바이러스, 논리폭탄, 메일폭탄 등의 프로그램을 투입하는 행위를 전자적 침해 사고 발생 유형으로 규정하고 있다.

문제는 침해사고 유형에 컴퓨터 바이러스는 포함돼 있지만, 악성코드 감염은 별도로 규정돼 있지 않았다는 점이다. 이에 따라 그동안 금융사들은 악성코드가 감염됐어도, 직접적인 피해가 발생하지 않으면 악성코드 감염에 대한 보고 의무가 없었다.

국회 관계자는 법안 발의 배경에 대해 "현행법 규정은 침해사고 발생 유형에 악성코드 감염 여부를 포함하지 않고 있어 금융회사 등이 고객정보 유출이나 서비스 장애가 발생하지 않았다는 이유로 악성코드 감염에 대해 보고하지 않고 있다"고 말했다.

그러면서 "현재 금융회사 등은 1만 명 이상 고객 신용정보 유출, 전산장애 등 가시적 피해가 발생하고 나서야 비로소 금융위원회에 보고하고 있는데, 이는 악성코드 감염 사고에 대한 조기 대응의 어려움으로 이어지고 있다"고 설명했다.

실제 금융권에서 발생한 해킹 사고 상당수가 악성코드 감염을 발단으로 하고 있다. 대표적으로 롯데카드의 경우 업그레이드가 이뤄지지 않은 온라인 결제 서버의 웹 로직 한 개에 악성코드가 심어지면서 최근 대규모 해킹 사고가 발생한 바 있다.

또, 국민의힘 강민국의원실이 금융감독원으로부터 제출받은 자료에 따르면, 지난 2020년부터 지난달 말까지 금융권에서 발생한 해킹사고는 총 31건으로 집계됐다. 해킹사고로 유출된 정보는 총 5만 1004건이다.

공격기법 별로 살펴보면 악성코드 및 보안취약점 해킹에 의한 침해가 서비스 거부 공격기법 다음으로 가장 많았다. 악성코드는 악의적인 목적을 위해 작성된 실행 가능 코드를 뜻한다. 컴퓨터 바이러스와는 다른 개념으로 분류된다.

이 같은 상황을 방지하기 위해 개정안은 전자금융거래법상 전자적 침해행위에 '악성코드 감염' 항목을 명시적으로 포함한다는 방침이다. 현재 개정안은 국회 상임위에서 심사 중이다. 이후 법제사법위원회의 체계·자구 심사와 본회의 의결을 거쳐 정부가 공포하면 본격 시행된다.