최근 개인정보 유출 사고가 잇따르는 것은 금융회사들의 안일함과 감독당국의 뒷북 대응이 어우러진 결과라는 것이 일반적인 평가다. 외부 해킹에 대한 시스템이 갖춰졌다는 이유만으로 인력관리를 소홀히 하다 보니 어처구니없는 사고가 계속된다는 지적이다.

금융회사들은 정보 유출에 대비한 내부 통제 장치를 갖추고 있다고 주장한다. 어느 정도는 사실이다. 카드사만 해도 △외부 PC 반입 금지 △USB 등 외부 저장장치 접속 차단 △암호화를 거친 고객정보와 가공한 고객정보만 열람 허용 등과 같은 보안정책을 두고 있다. 이 규정에 따라 아무리 단속해도 관련 직원들이 정보를 빼내가는 데는 당할 수 없다는 것이 금융회사들의 하소연이다.

한 카드사 관계자는 “범죄를 저지르겠다고 마음먹은 전산 전문가를 완벽하게 통제하긴 쉽지 않다”며 “KCB라는 유명한 개인신용평가 전문회사 직원이 이런 범죄를 저지를 것이라고는 꿈에도 생각하지 못했다”고 말했다.

하지만 이는 어디까지나 핑계라는 지적도 상당하다. 관련 직원이라는 이유로 관리를 소홀히 하고 있다는 이유에서다. 실제 이번 사건에서도 KCB 직원은 1억400만명의 고객정보를 접속하지 못하도록 돼 있는 USB에 담아 빼갔다. 카드사들이 가장 중요한 ‘사람 통제’를 거의 하지 않은 탓이다.

금융당국도 책임을 면하기는 힘들다. 정보 유출 사고가 날 때마다 대책을 내놓았지만 속수무책으로 뚫렸다. 그저 형식적인 감독에 그친 데다 선제 관리에 실패했기 때문이다. 금융당국은 이번에도 부랴부랴 보완대책을 내놨다. 특별검사를 통해 위법사실이 드러나면 최고경영자(CEO)를 포함한 사람들을 엄중히 제재하겠다는 것이 골자다.

한 관계자는 “개인정보 관리에 내부통제시스템이 제대로 작동하지 않은 탓”이라며 “앞으로는 관련 직원에 대한 윤리교육 실시 여부까지 검사 대상에 포함시킬 계획”이라고 말했다.

하지만 그동안 금융당국의 행태를 돌아보면 이 같은 대책이 ‘말로만 대책’에 그칠 가능성이 상당하다는 시각이 금융권에는 우세하다.

류시훈/임기훈 기자 bada@hankyung.com