“한번만 더 터지면 끝이다.”
온 국민을 대혼란에 빠뜨린 개인정보 유출 사고가 발생한 지 어느덧 1년이 흘렀다. 정부의 적극적 제도 정비와 처벌 강화에도 불구하고 1억4000만건의 정보 유출 사고가 발생해 혹독한 대가를 치러야 했다.
금융회사들은 사고 발행 이후 ‘소잃고 외양간 고친다’는 비판에도 불구하고 ‘길 가다 넘어지면 돌멩이라도 줍고 일어난다’는 심정으로 이번 사고를 타산지석으로 삼아 보안 인력을 충원하고 정보관리 프로세스를 재정립하는 데 총력을 기울여왔다.
그야말로 한번만 더 터지면 끝이란 심정이다.
◇보안인력 충원… 정보보호단 신설·조직 격상 = 정보유출 사태 이후 금융권에서 가장 먼저 감지된 변화는 보안전담 조직 신설이다.
우선 지난 7월 고객정보보호센터를 신설한 우리은행은 6개월여 만에 고객정보보호단으로 격상하는 조직개편을 단행했다. 정보보호최고책임자(CISO)를 포함한 21명의 보안전문 인력이 고객정보를 체계적으로 전담 관리하고 있다.
신한은행 역시 올 초 고객정보 제도·규정 조직과 정보통신기술(ICT) 부서의 정보보안 조직을 확대·개편해 정보보안본부를 설치했다. 올해 11명의 신규인력(전문계약직원 포함)을 채용해 총 57명의 보안담당자가 고객정보를 관리하고 있다.
교보생명과 동양생명 역시 각각 ‘정보보안팀’과 ‘수호천사 DMS(Document Management Service)’ 센터를 구축했다.
개인정보 유출 당사자인 KB국민카드도 정보보호본부에 관련 인력을 보강하고 고객정보 보호 전담팀을 만들었다. 기존 1부서 2팀 체제의 정보보호 조직은 독립된 정보보호본부 산하 1부서 3팀 체제로 개편했고 인력도 정규직 기준 10여명에서 두 배 가까이 대폭 증원했다.
3월부터 정보보호 부문을 신설 운영하고 있는 롯데카드 역시 최동근 이사를 CISO로 선임하고 정보보안에 대해 체계적인 종합관리를 하고 있다.
이밖에 신한카드는 임석재 전 신한은행 ICT 기획부 부장을 CISO로 선임했으며 삼성카드는 국내 금융정보 보호 분야의 최고 전문가인 성재모 상무를 CISO로 신규 영입했다.
◇고객정보 암호화… USB 통한 정보 반출시 별도 승인 = 조직 정비를 마친 금융회사들은 보안 프로세스를 강화하는 데 집중하고 있다.
공통적으로는 신한은행, 하나은행, 한화생명, 교보생명 등이 고객정보 유출 방지를 위해 외부저장매체(USB등)를 통한 반출 시 정보보안 전담부서의 승인을 받도록 통제를 강화했다.
개별적으로 살펴보면 하나은행은 지난 9월 금융권 최초로 전자금융 이상 징후 거래를 실시간으로 분석·대응할 수 있는 FDS(이상거래탐지시스템)을 구축했다. 연내 ISMS(정보보호관리체계) 인증을 받기 위해 컨설팅도 진행하고 있다.
한화생명의 경우 정보보안경영시스템 국제표준인 ‘ISO 27001’을 획득하고 주민등록번호, 카드, 계좌, 전화번호, 주소, 이메일 등 10개 항목의 개인정보 암호화도 완료했다.
동양생명은 증권 및 주요 안내장 등 133종의 인쇄물을 통합문서센터에서 직접 제작해 고객정보의 외부 유출을 원천적으로 차단했다.
KB국민카드는 일단 정보보안과 관련된 예산을 전년 대비 5배 늘렸다. 지난 7월 OTP(일회용 비밀번호 생성기)를 통해 사용자 인증 체계를 강화했고 저장장치 없이 모니터만 존재하는 ‘제로 PC’도 개발했다. 무선침입방지 시스템을 구축해 외부 무선망을 통한 정보 유출 가능성도 차단했다.
현대카드는 전 직원 대상 업무시스템 로그인 시 OTP 추가 인증 3중 보안장치를 적용했으며 개인정보가 포함된 파일 생성시 개인정보 격리시스템을 통해 바로 서버로 격리하고 있다.
카드업계 관계자는 “정보보안 중요성이 강조되면서 금융선진국 수준의 보안 인프라를 갖추게 됐다”고 설명했다.