"또 유출 땐 망한다" 부랴부랴 보안 시스템 개선

금융사 보안투자 강화에 분주

내달부터 주민번호 수집 금지

지난 1월 KB국민카드와 롯데카드, 농협카드에서 개인정보 유출사고로 국민들의 불안이 가중되고 있는 가운데 서울 시내의 한 사고 관련 카드회사 콜센터에 직원들이 출근해 고객들의 전화를 받고 있는 모습. 김주성기자 poem@hk.co.kr

#1. 잇따른 전산사고를 겪은 NH농협은행은 2016년까지 ITㆍ전산 부문에 총 7,600억원을 투자키로 하고 4월 통합IT센터 건립에 착수했다. 서울 양재동 전산센터보다 4.1배 큰 규모다. 또 은행과 상호금융(지역농축협 금융사업)의 전산시스템 분리작업도 돌입했다. 인프라 투자로 전산사고의 근원을 차단하겠다는 것이다.

#2. 기업은행은 국내에서 처음으로 예ㆍ적금, 펀드, 보험, 대출 등에 분산된 고객 정보를 한곳으로 모아 관리하는 ‘포스트차세대시스템’을 10월 도입한다. 기존 주민등록번호 대신 고객번호로 변경하는 등 보안이 한층 강화된다. 이를 위해 기존 IBM 전산시스템을 유닉스로 교체하고 현재 각종 장애요인과 대량거래 시 처리속도, 불편 유무 등을 시범 테스트 중이다.

카드 3사에서 발생한 사상 최악의 고객정보 유출 사태를 계기로 금융회사들은 지금 대변신에 나서고 있다. “향후 정보유출 사고 발생 시 최고경영자(CEO)는 자리에서 물러나야 한다”는 금융당국의 불호령 때문만은 아니다. 그 보다 더 무서운 것은 소비자들의 감시다. 이제는 단순히 이자 몇 푼 더 주고 수수료 몇 푼 깎아주는 것보다 자신의 정보를 철저하게 지켜주는 믿을 수 있는 금융회사를 훨씬 더 선호한다. ‘또 다시 정보가 유출되면 회사가 망한다’는 인식이 자리잡아 가고 있는 것이다.

소 잃고도 외양간은 고쳐야 한다

금융사들은 카드3사 정보 유출 사고 이후 내ㆍ외부 전산망 분리부터, 해킹방지 시스템, 보안 전문가 채용 등 정보기술(IT) 강화에 어느 때보다 투자를 아끼지 않는 모습이다. 물론 여전히 막대한 비용이 큰 걸림돌일 수밖에 없긴 하지만, “돈 안 되는 보안 투자는 가급적 자제하자”던 이전의 분위기와는 확 달라진 것을 확인할 수 있다.

개인정보 유출 당사자 중 하나인 KB금융은 조직개편부터 시도했다. 주력계열사인 은행의 경우 기존 ‘IT정보보안부’를 ‘정보보호본부’로 격상했고, 지주 내에도 정보보호부를 신설했다. 또 해킹방지를 위해 디도스(DDoS) 대응장비, 방화벽, 침입탐지 방지시스템 등 보안장비를 갖추고 각종 취약성을 점검 중에 있다. 화이트해커(해커 공격을 막는 전문가)도 양성해 시스템의 취약점을 상시적으로 자가 진단하고 있다. KB카드 역시 정보유출의 원인이 됐던 외주인력 문제를 해결키 위해 전산시스템 접속 시 지문인식 기능을 추가했고, IT관련 인력을 대거 충원했다.

신한금융은 은행의 경우 외부저장 매체를 통한 파일 저장 금지, 웹메일로 고객정보가 포함된 파일 발송시 사전 승인 등의 보안강화 조치를 했고, 카드 역시 고객정보를 최소로 사용하는 상품 개발에 나섰다.

하나ㆍ외환은행도 고객정보 관리 전담 조직인 ‘고객정보보호본부’를 신설하고 고객정보보호부와 정보통신보안부를 그 밑에 두는 조직개편을 단행했다. 하나금융 관계자는 “일관된 고객정보 보호를 위해 고객정보보호와 IT보안을 총괄하는 단일 조직 체계를 갖췄다”고 말했다.

우리은행은 ▦경영감사부에서 개인정보 보호 전반에 대한 검사 상시 진행 ▦일반팩스 발송 원칙적으로 금지 ▦USB 파일 저장 및 외부메일 발송 부서장 승인 필수 등 고객개인정보 유출 방지책을 마련했다. 또 현재 50명 수준인 IT보안 인력을 연내 10명 가량 추가 채용할 예정이다.

또 다른 사고 당사자인 롯데카드도 전문 보안 컨설팅을 통해 ‘금융보안통합솔루션’을 도입하는 분주한 움직임을 보이고 있다.

시스템보다 더 중요한 건 정보보호 의지

금융회사들은 현재 주민등록번호 대신 고객번호로 업무처리가 가능하도록 하는 작업에 매진하고 있다. 당장 다음달부터 주민번호 수집과 이용을 원칙적으로 금지하는 개인정보보호법이 시행되기 때문이다. 전산시스템 변경을 통해 주민등록번호를 고객번호로 대체해 업무에 들어간다. 주민번호는 최초 거래 시에만 키패드 등을 이용해 고객이 직접 입력하는 방식으로만 제공한다. 주민등록증 사본도 파일 형태로 암호화해 보관해야만 한다. 국민은행 관계자는 “처음 거래 시에도 핀패드에 고객이 직접 주민번호를 입력하기 때문에 은행직원에게 노출이 안되고, 화면조회 및 출력 시에도 고객번호를 사용하도록 해 철저한 보안을 유지하도록 했다”고 설명했다. 금융당국은 여기에 추가로 연말부터 금융거래 서식에 주민번호 기재란을 삭제하고 생년월일만 넣도록 할 방침이라 6개월 만에 시스템적으로는 어느 정도 정보보안 체계를 갖추게 된 셈이다.

하지만 이런 인프라 개선 만으로 정보가 지켜질 수는 없다. 아무리 촘촘한 보안망이 갖춰져 있다고 해도 임직원들의 의식이 느슨해지는 순간 어디선가 구멍이 생길 수밖에 없다. 지속적으로 개인정보 보호를 실천하겠다는 의지가 무엇보다 중요하다는 얘기다. 이병윤 한국금융연구원 부원장은 “금융회사는 당장의 이익보다 금융사고에 의한 신뢰추락의 손실이 크다는 것을 깨닫고 CEO가 앞장서서 개인정보 보호 등 내부통제를 조직문화와 직원의식으로 정착시켜야 한다”며 “감독당국 역시 제재 수위를 한층 높여 내부통제를 가벼이 여기는 행태를 완전히 개선해야 국민들에게 잃어버린 금융권의 신뢰를 되찾을 수 있을 것”이라고 지적했다.

박관규기자 ace@hk.co.kr