[정보유출 6개월, 그 후]

<중> 정보유출 약한 고리 아직 많다

금융개인정보 유출 취약점/2014-07-08(한국일보)

#1. 직원과 민원인이 자유롭게 사용할 수 있는 A금융사 본사 1층 휴게실 공용 PC에는 투자자 240여명의 이름, 연락처, 계좌번호가 수록된 파일이 비밀번호도 없이 4개월 동안 저장돼 있었다. B금융사 신용조사부는 공용 또는 직원용 PC 4대에 암호화되지 않은 개인신용정보를 무려 2만4,000여건이나 저장했다.

#2. 통신 회선ㆍ장비 관리를 위해 C은행을 드나드는 용역업체 직원 3명의 노트북에는 이 은행의 전산망·백본(통신회선)ㆍ서버 구성도와 방화벽 IP대역 정보가 들어 있었다. 막대한 개인정보가 흘러 다니는 은행 전산시스템에 접근할 수 있는 지도와 출입문(방화벽) 비밀번호가 외부인 손에 고스란히 내맡겨진 셈이다.

최근 당국의 금융회사 점검에서 드러난 개인정보 무방비 사례다. 1억건 넘는 카드 3사의 고객정보 유출 사태 이후에도 보안을 등한시해온 현장의 관성, 비판 여론에 쫓긴 당국의 급조 대책 탓에 개인정보가 새나갈 틈새가 좀체 메워지지 않고 있다.

여전히 허술한 개인정보 관리

외부 해킹에 대비한 전산 보안 체제를 잘 갖추고 있는 은행, 카드사에서 최근 들어 정보유출 사고가 빈발하는 이유는 내부 직원이나 외주업체의 탈선 행위를 제대로 통제하지 못하기 때문이다. 올해 1월 카드 3사 정보유출은 물론이고 지난해 11월 한국SC은행과 한국씨티은행에서 13만여명의 금융정보가 유출된 사건도 전형적인 내부통제 실패 사례다. 김상봉 한성대 교수는 “예전에는 해킹으로 인한 정보 유출이 많았지만 2010년 이후에는 내ㆍ외부 직원에 의한 정보 유출 사고가 늘어나고 있다”고 지적했다. 잘 알려지지 않았지만 은행 직원이 내부망을 통해 거래내역, 고객신용정보 등이 보관된 데이터베이스를 해킹한 사례도 대여섯 건 있다는 것이 금융당국의 설명이다.

금융감독원이 올해 상반기 3,050개 금융회사 및 유관기관을 상대로 실시한 고객정보 보호실태 점검에서도 부실한 내부통제 상황이 여실히 드러났다. ▦고객정보 과다 조회자 방치 ▦고객정보 외부 전송 시 통제절차 미흡 ▦내부직원-외주업체 직무분리 부재 ▦형식적인 보안점검 및 교육이 대표적 지적사항이다. 김유미 금감원 IT금융정보보호단 선임국장은 “내부통제를 강화하면 정보 접근 절차가 까다롭고 복잡해지는 것을 감수해야 하지만 현장에서는 최고경영자니까 혹은 영업부서니까 하는 식으로 예외를 적용하는 사례가 많았다”고 말했다.

비용에 발목 잡힌 정보보호

정보수집 제한, 내부통제 강화와 더불어 당국이 금융기관에 요구하고 있는 정보보호 핵심 대책은 전산 보안 강화. 금융당국은 최대 50여종에 달하는 수집정보 항목을 10개 이내로 줄이고 이를 암호화해서 전산관리할 것을 주문하고 있다.

자료사진. 연합뉴스

그러나 연내 완료를 목표로 일사천리로 진행 중인 다른 정책들과 달리 당국은 개인금융정보 암호화에 대해선 일정도 잡지 못하고 있다. 적게는 50억원, 많게는 2,000억원 이상 드는 주전산기 교체가 수반되는 정책이다 보니 금융사들도 선뜻 나설 수가 없는 탓이다. 금융당국 고위관계자는 “비용이 많이 들고 교체 과정에서 금융거래 안정성을 해칠 수도 있는 사안이라 주전산기 교체 시기를 맞은 금융기관 위주로 시스템 개선을 주문하고 있다”고 말했다. 주전산기 교체 주기가 5~10년임을 감안하면 앞으로도 상당 기간 암호화되지 않은 개인정보 유출 우려를 감수해야 할 판이다.

또 다른 해킹 취약점인 신용카드 결제단말기(POS단말기) 교체 작업도 돈 문제에 발목이 잡혔다. 금융당국과 여신금융협회가 지난달 ▦국제기술표준(EMV) 인증 ▦카드 정보 전송구간 전체 암호화 ▦결제승인 완료 시 카드번호 삭제 ▦외부 침입 시 암호키 파기 등 POS단말기 보안표준안을 시달했지만 단말기 교체 비용 부담을 놓고 카드사, 밴(VAN)사, 가맹점 간에 치열한 신경전이 벌어지고 있어 내년 교체 완료 일정에 차질이 불가피해 보인다.

국회에서 잠자는 관련 법안

정부의 개인금융정보 보호 정책은 지난 3월 발표한 종합대책에 망라돼 있다. 정부의 정책적 원칙은 ‘구체적인 기술적 보안 방안에 있어서는 금융회사에 자율권을 부여하되 유출사고 발생 시에는 엄정한 책임을 묻겠다’는 것. 개인정보보호에 있어 포괄적 규제를 펴는 유럽식 모델 대신 시장 자율규제에 맡기되 사후 제재를 강화하는 미국식 모델을 따른 셈이다. 그러나 정보유출 피해액의 3배까지 배상금을 물리는 징벌적 손해배상제, 대표자가 승소하면 나머지 피해자도 구제받는 집단소송제 등을 담은 관련 법안이 정치적 논쟁 속에 표류하면서 자칫 자율만 있고 처벌은 약한 기형적 정책이 될 것이란 우려가 나온다.

개인정보는 일단 유출되면 회수가 어려워 2차 피해를 막기 힘든 만큼 사후 제재보다는 사전적 예방에 정책의 초점을 맞춰야 한다는 지적이 많다. 최철 숙명여대 교수는 “정부 종합대책의 문제점은 사고가 발생한 후에야 비로소 검토되고 발표됐다는 것”이라고 지적했다.

이훈성기자 hs0213@hk.co.kr

공감은 비로그인 상태에서도 가능합니다

api_db 저작권자 © 한국일보 무단전재 및 재배포 금지

경제 최신기사