줄줄 새는 금융사 고객 정보<br>내부직원 소행 후진적 보안사고 잇달아 충격<br>기초적 윤리교육 부족·내부통제 소홀이 원인<br>단번에 신뢰 잃을수도 있다는 위기의식 절실
금융회사의 기본은 신뢰이고 이것은 고객의 믿음에서 출발한다. 때문에 고객의 정보는 어떤 상황에서도 외부에 노출해서는 안 되는 금융회사의 생명과 같은 존재다.
그런데 우리의 금융회사는 잊혀질 만하면 개인정보 유출 사고가 발생한다. 그것도 생각하지도 못했던 대형 금융회사에서 생긴다. 멀게는 현대캐피탈에서부터 최근 삼성카드에 이르기까지 대기업 계열의 보안문제가 줄지어 도마 위에 오르고 있는 셈이다.
특히 올 초 현대캐피탈과 농협의 경우에는 외부세력의 해킹범죄로 개인정보가 유출되고 전산이 마비되는 피해를 입었지만 최근에는 내부 임직원들이 사고를 치는 경우가 잦아지고 있다. 이는 가장 후진적인 보안사고로 기초적인 윤리개념 교육이 부족하고 내부통제조차 제대로 작동하지 않고 있음을 의미한다. 금융 당국 차원에서 금융회사의 지배구조뿐만 아니라 고객 정보 보호에 대한 체계적인 틀을 재정비해야 한다는 지적이 나오는 이유다.
◇끊이지 않는 후진적 금융보안 사고=내부 직원에 의한 개인정보 유출사건은 올 들어 끊이지 않고 있다. 연초 현대캐피탈과 농협의 해킹사건으로 금융당국까지 나서 보안을 강화하고 나선 마당에 자꾸 사건이 반복되고 있는 것이다.
삼성카드는 내부 직원에 의해 80만건의 고객 정보가 유출됐다. 더욱이 이런 사실을 인지하고 있었으면서도 금융 당국에 5만건이 안 된다고 허위로 보고해 은폐의혹까지 일고 있다. 고객정보 유출을 인지했다면 한시라도 빨리 고객에게 알려 2차 피해를 막았어야 했지만 삼성카드는 경찰수사가 진행될 때까지 입을 다물고 있었다.
신한캐피탈은 최근 자체 신용정보조회시스템(CSS)을 만든 뒤 점검하는 과정에서 직원이 당사자 동의 없이 신용정보를 조회하다 금융감독원에 적발됐다. 지난 7월에는 SC제일은행 직원 10명이 가족ㆍ친척ㆍ친구 등의 개인신용정보를 466차례에 걸쳐 무단 조회한 사실을 금감원이 적발해 은행 측에 징계를 요구하기도 했다. 이외에도 외환은행 직원들이 개인적인 목적으로 개인신용정보를 1,173회나 조회한 사실이 금감원 종합검사에서 적발되기도 했다.
◇접근권한 제한하고 처벌강도 높여야=보안전문가들은 금융회사 내부직원들의 고객정보 유출을 막기 위해서는 우선 해당 정보에 접근할 수 있는 사람을 극소수로 제한해야 한다고 조언한다. 빠른 일 처리를 위해서는 많은 사람들이 여러 정보에 접근할 수 있는 권한을 갖고 있어야 하겠지만 최근 잇달아 일어난 내부직원의 개인정보 유출에서 보듯 효율성을 금과옥조로 삼다가는 더욱 중요한 보안에 구멍이 뚫릴 수 있기 때문이다.
개인정보 보호와 관련된 내부 처벌규정도 한층 강화할 필요가 있다. 금융회사들은 내부적으로 개인정보 보안의 중요성을 간과해온 것이 사실이다. 금융권의 한 관계자는 "과거 직원들이 유명 연예인이나 정치인들의 개인정보를 재미 삼아 조회하고 돌려본 적도 있다"며 "개인정보를 침해하거나 유출했을 경우 처벌규정을 강화해 일벌백계해야 재발을 막을 수 있다"고 전했다.
◇한번에 신뢰 잃을 수 있다는 위기의식 가져야=금융위는 현대캐피탈과 농협의 해킹피해 이후 최고경영자(CEO)가 보안문제에 직접 책임을 지도록 했다. 또 최고정보보호책임자(CSO)를 채용해 보안을 전담하도록 하고 정보기술(IT) 보안 인력을 회사임직원의 5%까지 확보하도록 하는 등 보안강화를 위한 권고안을 내놓았다.
하지만 금융권은 아직 미적대고 있다. 이를 강제할 수 있는 법안이 통과되지 않은데다 비용과 인력부족을 이유로 들고 있다. 그만큼 절실하지 않다는 얘기다. 물론 실력이 검증된 인력을 뽑기 위한 인력풀이 풍부하지 않은 것은 사실이다. 최근 CSO를 외부에서 영입한 한 금융사의 경우 마땅한 인물을 찾지 못해 한 명을 채용하는 데 무려 두 달가량의 시간이 걸리기도 했다.
하지만 보안업계의 얘기는 다르다. 우선순위를 어디에 두느냐에 따라 달라질 수 있는 문제라는 것. 한 IT 보안업체 관계자는 "한꺼번에 모든 인력이 필요한 것도 아니고 능력에 따라 다양한 인력을 채용할 수 있는데도 금융권은 애써 외면하고 있다"고 말했다. 예산투입도 인색하다. 이성헌 한나라당 의원에 따르면 지난해 신용카드사의 IT 관련 예산 중 보안에 투입한 비중은 3.6%에 불과했다.
금융당국 한 관계자는 "금융회사들이 비용과 인력부족을 이유로 보안문제를 등한시하다가는 고객신뢰를 한방에 잃어버릴 것"이라며 "법 개정을 기다리고 이런저런 핑계를 댈 것이 아니라 지금이라도 당장 움직여야 한다"고 말했다.
