대규모 개인정보 유출사고가 잇달아 드러나면서 금융기관의 고객정보 관리 현황에 빨간불이 켜졌다. 한국씨티은행, SC은행 등 외국계 은행부터 KB국민카드, NH카드 등 주요 신용카드사의 고객정보, 그리고 저축은행과 캐피털사도 대규모 고객정보 유출사고를 겪은 것으로 드러났다.
최근 검찰에 적발된 고객정보 유출 대출 모집인 사건에 연루된 사람은 제1금융권부터 저축은행, 할부금융사 등 금융기관 전반에 걸쳐있으며, 각각 수십만건에서 수백만건에 이르는 것으로 알려진다. KCB 직원이 유출한 신용카드 정보는 무려 1억400만건에 이른다.
금융기관의 개인정보 유출사고는 끊이지 않고 일어났다. 메리츠화재, 한화손해보험, 현대캐피탈, IBK캐피탈, 삼성카드 등 정보유출 사고를 일으키지 않은 금융기관을 찾기 어려울 정도로 정보유출사고가 자주 일어난다. 우리나라 국민의 신용정보도 거의 대부분 유출된 상태라고 봐도 무방할 정도이다.
보안 예산 많이 투자해도 정보유출 사고 줄이어
고도의 보안이 요구되는 금융기관에서 정보유출 사고가 잇달아 발생하는 것은 ‘인재’라고 보는 것이 정확하다. 금융기관은 다른 산업군에 비해 가장 많은 예산을 보안에 투자한다. 보안기업들이 융기관에 솔루션을 납품하는 것을 가장 대표적인 레퍼런스로 꼽을 만큼 금융권에서는 가격보다 성능과 안정성을 중심으로 제품을 선정한다.
이렇게 철저하게 대비하는데도 불구하고 정보유출사고가 발생하는 이유는 포인트 솔루션 도입에만 집중했을 뿐, 보안 체질을 강화하는데에는 소홀했기 때문이다. 실제로 고객정보를 빼돌린 방법은 서버에 직접 접속해 USB로 데이터를 저장하거나 수천장에 이르는 분량의 고객정보를 프린트해 가져나갔다. 즉 가장 기본적인 보안 대책을 마련하지 않았다는 것이다.
금융기관의 개인정보보호 관리 실태가 이처럼 허술하다는 사실이 드러나자 금융감독기관들이 정보보호 실태를 점검하고 나섰다. 금융감독원은 13일 은행연합회 등 5개 금융협회와 71개 금융회사 CISO·CPO 등 100여명을 긴급 소집하고, 각 금융회사의 개인정보보호 관리 실태와 현황 점검과 향후 고객정보 유출사건이 재발하지 않도록 당부했다.
또 ▲직원 등 내부이용자에 의한 정보유출사고 방지를 위한 내부통제 절차 강화 ▲대출모집인과 정보시스템 개발인력 등 외주용역직원 관리 강화 ▲외부해킹 방지를 위한 정보기술 부문 보안대책 강화 등을 주문했다.
내부통제부문에서는 고객정보 조회 권한을 직급별, 업무별로 차등 부여하고 과다조회 부서나 직원에 대해서는 수시로 점검토록 했다. 고객정보를 이동식저장장치(USB) 등에 저장하는 등 외부전송수단에 대한 통제 강화도 지시했다. 외주업체 보안관리를 위해서는 아웃소싱 상주직원의 시스템에 대한 접근통제를 강화하는 방안을 마련토록 했다.
정보기술부문에서는 사용자 비밀번호를 분기마다 변경하게 하고 시스템을 개발할 때 고객정보를 변환해 사용하는 것은 물론 테스트가 끝난 후에는 관련 정보를 삭제하는지 점검토록 했다.
한편 금감원은 개인정보 유출사고가 발생한 KB국민카드, 롯데카드, NH농협카드 등 3개 카드사와 신용정보사 KCB(코리아크레딧뷰로)에 대한 현장 검사를 시작했으며, 나머지 금융회사에 대해서도 2월까지 고객정보 관리 적정성 실태 점검을 실시한다.
