금융감독원은 13일 개인정보 유출사건과 관련해 서울 여의도 금감원 건물에서 71개 금융회사 및 각 협회의 개인정보보호책임자(CPO)와 정보보호최고책임자(CIS0) 86명을 긴급 소집해 회의를 열었다. 참석자들이 관련 서류를 보고 있다. 강은구 기자 egkang@hankyung.com
금융감독원은 13일 개인정보 유출사건과 관련해 서울 여의도 금감원 건물에서 71개 금융회사 및 각 협회의 개인정보보호책임자(CPO)와 정보보호최고책임자(CIS0) 86명을 긴급 소집해 회의를 열었다. 참석자들이 관련 서류를 보고 있다. 강은구 기자 egkang@hankyung.com
“금융사가 아닌 일반 회사라도 이동식저장장치(USB)를 통해 정보가 빠져나간다는 건 상상할 수 없는 일 아닌가요?” (신용카드 이용자 김은영 씨)

최근 1억건이 넘는 고객정보가 빠져나간 사상 최대 규모의 신용카드 개인정보 유출 사건이 단순히 USB 불법 복사를 통해 이뤄졌다는 점에 금융소비자의 불안이 가중되고 있다. 지난 8일 구속 기소된 개인 신용평가회사 코리아크레딧뷰로(KCB)의 차장급 직원은 KB국민카드 롯데카드 농협카드 등의 컨설팅을 해주며 확보한 거래 정보 1억400만건을 개별 회사 전산망에 접근해 USB로 빼냈다.

누구나 쉽게 상상할 수 있는 방법으로 막대한 양의 개인정보가 유출됐다는 점에서 카드사의 보안시스템에 구멍이 뚫렸다는 비난을 피하기 어렵다. 정보기술(IT) 업계에서는 이번 사태의 핵심은 제도의 미비가 아니라고 입을 모은다. 대형 보안사고가 반복됐지만 금융회사 경영진이나 직원들의 보안 의식은 제자리걸음만 하고 있는 게 문제라는 것이다.

○제자리걸음인 금융사 보안 인식

[금융보안 사고 왜 되풀이 되는가] 보안규정은 철저한데…'안지켜도 그만' 보안의식 곳곳에 구멍
지난 3년간 금융업계는 해킹, 내·외부 인력으로 인한 굵직한 보안사고가 연달아 터졌다. 2011년 4월 현대캐피탈에서 외부 해킹으로 175만건의 고객정보가 빠져나갔고, 9만7000건의 고객정보를 내부 직원이 빼내간 하나SK카드 개인정보 유출사건(2011년 7월), 47만건의 정보가 새어나간 삼성카드 사건(2011년 8월) 등 몇 만 건 단위의 고객정보가 유출된 사건이 반복됐다.

매번 보안사고가 터질 때마다 금융당국은 전자금융 감독규정을 개정하는 등 보안 조치를 강화했다. 한화손해보험 현대캐피탈 등 무려 4건의 대형 금융보안사고가 터진 2011년 말에는 전체 직원의 5%를 IT인력으로 채용하고, IT인력의 5%는 보안인력으로, 또 IT예산의 7%를 정보보호 예산으로 편성하게 하는 ‘5·5·7’ 전자금융 감독 규정을 마련했다.

하지만 이후에도 금융보안사고가 계속 터졌다. 한 국내 보안업체의 컨설팅 담당부장은 “정부 제도나 보안 기준은 선진국에 비해 결코 낮지 않다”며 “제도를 그대로 지키기만 하면 되는데 편법을 쓰거나 실무자단에서 무시하는 것이 문제”라고 지적했다. 예컨대 금융사에서 시스템을 만들 때 실제 데이터를 이용해 만들면 안 되는데도 편의상 그렇게 하는 경우가 비일비재하다는 것이다.

제도를 등한시하는 이유는 보안에 대한 인식이 여전히 낮기 때문이라는 지적이다. 한 해커 출신 보안 컨설팅 담당자는 “제1금융권인 은행을 포함한 모든 금융사에서 보안조직의 권한과 입지는 상당히 미미하다”며 “계열사의 해킹사건을 겪은 뒤 감사실 산하에 보안 조직을 넣은 현대카드 정도가 보안조직이 힘이 있고, 대부분의 금융사는 회사 내 입지가 미약하다”고 말했다.

○외주직원 관리·기술투자 실효성 낮아

그렇다 보니 외주 직원에 대한 보안교육·권한 설정 등 인력관리, IT 투자 등도 실효성 없이 이뤄지고 있다. 특히 이번에 문제가 된 외주 인력 관리는 업계에서 거의 손을 놓고 있다는 지적이 나온다.

외주 인력이 쓰는 PC나 노트북을 관리하는 외주인력 관리 전문 솔루션을 제작하는 중견기업 ‘좋을’의 김영혁 상무는 “금융사는 물론 공공기관, 일반 기업에서도 하드웨어와 소프트웨어별로 전문 외주직원을 두는 것이 일반적인데, 이들 중 회사 내부정보에 정통한 직원이 많다”고 했다. 그는 “일반 직원보다 강력한 보안정책을 적용해야 하는데 손을 놓고 있는 금융사가 대부분”이라고 말했다. 짧게는 몇 개월에서 길게는 몇 년씩 걸리는 프로젝트를 맡아 일하거나, 5~10년씩 유지보수 일을 맡아 해당 기업에 출입하는데 특별 관리를 받기는커녕 자유롭게 드나든다는 것이다.

성경원 SK인포섹 이사는 “제도를 아무리 빈틈없이 만들고 기술을 갖춰도 보안은 ‘사람이 하는 일’이기 때문에 실무와 제도 사이의 빈틈을 메우는 작업이 필요하다”고 지적했다. 전자금융감독규정 제13조는 ‘금융회사는 전산자료 유출을 방지하기 위해 보호대책을 수립해야 하며, 외부 사용자에게 사용자 계정을 부여하는 경우 최소한의 작업 권한만 할당하고 적절한 통제장치를 갖춰야 한다’고 규정하고 있다.

하지만 규정에서 요구하는 ‘최소한의 작업 권한’이 어디까지인지 분명치 않다. SK인포섹 관계자는 “KCB 차장급 직원과 같이 위·변조 탐지시스템 개발 프로젝트(FDS)를 맡은 직원은 작업 내용을 면밀히 살펴보고 권한을 부여하지 않으면 꽤 넓은 범위의 정보에 접근할 수 있다”고 지적했다.

해외 기업은 제도적으로 국내만큼 많은 보안 규제를 받지는 않는 편이지만 보안 인식은 높다. 한 보안 컨설팅 담당자는 “금융사가 아닌 로이터 등 통신사에서도 규정을 그대로 지키려 노력하는 편이고, 실무자 위반에 대한 처벌이 엄격하다”고 말했다. 구태언 테크앤로 대표변호사는 “기존의 정보유출 방지를 위한 보안 규정을 철저히 지키도록 금융사들의 기업문화만 바꿔도 보안사고를 크게 줄일 수 있을 것”이라고 조언했다.

김보영 기자 wing@hankyung.com