[기획] “금융권, IT부문 예산·인력부터 늘려야”

금융회사들이 개인정보 관리 및 배상책임 강화에 초점을 두고 고객정보 유출 사태 수습에 총력을 기울이고 있다. 그러나 금융회사 내부의 미흡한 정보관리 체계로 인한 개인정보 유출뿐만 아니라 외부 악성 공격에 의한 신종 금융보안사고도 급증하고 있는 실정이다. 이에 따라 금융회사들은 보안성과 고객의 이용 편의성을 동시에 감안해 제약조건 및 강화된 인증수단을 도입하면서 관련 투자를 확대하는 것이 바람직하다는 지적이 제기됐다.

특히 국내에는 아직까지 도입되지 않은 거래서명기술이나 모바일 토큰과 같은 보다 강화된 인증수단의 활용을 확대할 필요가 있다는 주장에 힘이 실리고 있다.

◇ 최근 3년간 국내 금융사 개인정보 유출사고 얼마나?
우리금융경영연구소 전략연구실 김종현닫기김종현기사 모아보기 연구위원이 최근 펴낸 ‘신종 금융보안사고의 확산 및 시사점’ 이라는 보고서에 따르면 최근 국내외적으로 빈번하게 발생하고 있는 개인 정보 유출사고는 대부분 금융회사 내·외부 직원의 의도적인 정보 복제 행위를 통해 발생한 것으로 나타났다. 전 세계적으로도 기업 정보 유출사고의 92%가 내부 정보 복제 행위에 의해 발생하는 것으로 조사됐다.

개인정보 유출사고의 유형을 원인별로 분류하면 크게 사용자 실수, 외부 악성 공격, 시스템 오류, 내부 정보 복제, 천재지변 등 5가지로 나뉜다.

최근 3년 이내 발생한 국내 금융회사의 개인정보 유출사고를 유형별로 살펴보면, 지난 2011년 현대캐피탈과 한화손해보험이 악성 공격(해킹)에 의해 각각 175만건, 16만건의 고객정보가 유출됐다. 또 삼성카드, 하나SK카드, IBK캐피탈, 씨티은행, 메리츠화재에 이어 최근 국민카드, 농협카드, 롯데카드 등에서는 회사 내·외부 직원이 회사 내부 데이터를 무단으로 복제했다.

이에 따라 금융위원회는 최근 금융회사의 개인정보 관리 및 배상책임 강화에 초점을 둔 ‘금융회사 고객정보 유출 재발방지 대책’을 발표했다.

◇ 금융위, 금융회사 고객정보 유출 재발방지 대책 내놔
주요 내용을 보면 우선, 금융회사는 필요최소한의 개인정보만 보유하도록 해 정보유출 시 발생할 수 있는 피해를 최소화하고, 금융회사가 정보를 수집하고 보관하는 방식도 소비자 관점에서 대폭 개선하기로 했다. 또 불법적인 정보가 거래되지 않도록 근본원인을 제거하고 정보보호관련 금융회사와 임원의 관리책임을 강화하는 동시에 정보유출관련 행정제재와 형벌을 대폭 강화한다. 징벌적 과징금제도도 도입할 계획이다.

개인정보를 유출하거나 활용하는 금융회사에 대해서 금전적인 제재수준이 대폭 상향되면 위법행위 사전예방기능이 매우 강화될 것이라는 설명이다. 또한 금융회사의 개인신용정보 보유기간을 거래종료일부터 5년으로 제한하고, 거래종료고객 정보는 별도로 분리해 보관·관리토록 하고, 마케팅 목적의 활용은 엄격히 제한키로 했다. 계열사간 정보 공유제도도 개선키로 했다. 금융지주법상 특례에 따른 정보활용은 엄격히 한정하고, 분사된 회사가 보관하고 있는 개인신용정보는 별도로 분리할 예정이다.

◇ “계열사간 정보공유·내부통제제도 개선” 다짐

아울러 정보관리와 정보유통과정도 개선한다.
먼저 개인신용정보보호 책임자의 권한과 책임을 대폭 강화한다. 일정규모 이상의 금융회사에 대해서는 신용정보 관리·보호인을 ‘임원’으로 임명토록 하고, 중요사항은 CEO에게 정기보고토록 의무화하기로 했다.

이와 함께 내부통제제도를 개선하고 외주업체에 대한 관리를 더욱 강화한다고 했다. 금융회사가 자체적으로 보안이행하고 있는지 주기적으로 점검하고, 금감원 검사 시 철저히 들여다보기로 했다. 금융회사의 외주용역에 대해서는 CEO와 최고정보보호책임자(CISO)의 사전승인·사후관리 절차를 명확히 하고, 노트북, USB 등 외부저장매체의 반입통제를 철저히 시행하겠다고도 했다.

◇ “불법유통 정보 수요 차단해 나가겠다”

여기다 제3자에 대한 정보제공도 엄격하게 운용한다. 개인정보제공 동의서 작성 시 포괄적 동의금지를 검토하는 동시에 원칙적으로 정보제공 대상 회사를 개별적으로 명시하는 경우에만 정보제공이 가능하도록 했다. 제공대상 정보도 관련 부가서비스 이용 등과 관련하여 필요한 정보로 한정하고, 제3자가 취득한 정보활용 기간은 당초 정보 활용 목적에 필요한 기간 이내로 제한키로 했다.

이 밖에도 대출모집인 제도에 대해 전반적·심층적으로 검토해 불법유통시장 자체를 없애고 해당 금융회사에 대해서도 불법유통 행위자에 준하는 무거운 책임을 묻겠다는 점을 분명히 했다.

김종현 연구위원은 “금융위가 내놓은 대책은 개인정보 유출에 따른 고객의 불안과 불편을 최소함과 동시에 금융회사의 개인정보 보유·유통·관리 체계를 개선하고 사후 책임과 제재를 대폭 강화하는 데 중점을 두고 있다”고 말했다. 이어 “금융회사 내부의 미흡한 정보관리 체계로 인한 개인정보 유출뿐만 아니라 외부 악성 공격에 의한 신종 금융보안사고도 급증하고 있다는 점”에 주목했다.

◇ 스피어 피싱 등 더 치밀하고 진화된 금융보안사고도 빈번

실제 지난해 1월부터 12월까지 수집된 스미싱 악성코드 포함, 모바일 악성코드의 수는 총 125만 1586개로 2012년 전체 26만 2699개 대비 4.7배(376%) 늘어났고, 2011년 전체 8290건과 비교해 약 151배(14997%)나 껑충 올랐다.

특히 문자메시지나 SNS 내 URL을 통해 전파되어 특정 금융정보만을 노리는 스미싱 악성코드가 급증하고 있어 금융 소비자의 피해규모가 확대될 가능성이 커지고 있다고. 특정 금융정보만을 노리는 스미싱 악성코드 수는 지난해 총 5206건으로 29개가 발견된 2012년 대비 약 180배 부풀어 오르면서 가파른 증가세를 보이고 있는 것으로 나타났다.

이 밖에도 컴퓨터에 악성 프로그램을 심어 내부 문서나 데이터를 암호화해 사용 불능 상태로 만든 후 해독 프로그램 제공을 대가로 금전을 요구하는 ‘랜섬웨어’, 특정 개인 또는 기업을 대상으로 공신력 있는 기관 또는 지인을 사칭해 이메일을 보내 PC에 악성코드를 심은 후 중요 정보를 탈취하는 ‘스피어 피싱’ 등 기존 방법보다, 보다 진화한 금융보안사고도 최근 잇달아 발생하고 있는 상황이다.

김 연구위원은 “아직까지 신종 악성코드 및 해킹에 대한 효과적인 예방책 및 치료백신이 미흡한 상태”라며 “제대로 대응하지 않을 경우 국내 금융업의 피해규모 확대가 불가피하다”고 진단했다.

◇ 해외 금융회사들 전자금융 환경 살펴보니

그러면서 그는 “해외 금융회사의 경우 금융보안사고 리스크를 최소화하기 위해 금융거래 절차와 기술적 환경 측면에서 여러 가지 제약을 둬 보안성을 강화하고 있다”며 해외 금융회사들의 사례를 설명하기 시작했다.

해외 금융회사들은 금융거래 절차 측면에서는 일정 시간을 두고 자금 이체를 실행함으로서 사고 발생 시 금융회사의 사전 대응이 가능하도록 했으며, 입금계좌를 미리 등록해 금융보안사고를 예방할 수 있게끔 하고 있다. 또 기술적 환경 측면에서는 일정금액 이상 거래 시 일회용비밀번호(OTP) 등 기존 보안장치 외 거래서명기술 등을 활용해 사고 발생 가능성을 최소화했다.

반면 국내 금융회사들은 임금계좌를 사전에 지정하지 않아도 자금 이체를 할 수 있으며, 실시간 이체 또한 특별한 제약 없이도 실시간으로 자행·타행이체가 가능하다.

이에 따라 김종현 연구위원은 “국내 금융회사들도 보안성과 고객의 이용 편의성을 동시에 감안해 금융보안사고 리스크를 최소화할 수 있는 제약조건 및 강화된 인증수단 도입과 관련 투자를 확대할 필요가 있다”고 목소리를 높였다.

◇ “입금계좌 사전지정제 도입해 금융사고 사전 예방해야”

입금계좌 사전지정제는 고객이 미리 계좌번호를 등록해야 하는 번거로움은 있으나 실수에 의한 이체나 해커의 계좌로 자금이 이체되는 사고를 미연에 예방할 수 있다고 말했다. 또 “모바일 기기 내 유심의 별도 보안 영역에 공인인증서를 보관해 사용하는 방식인 ‘모바일 토큰’을 도입할 필요가 있다”고 강조했다. 인증서의 이동 없이 스마트폰에서 직접 전자서명을 할 수 있고 인터넷뱅킹 뿐 아니라 스마트폰뱅킹 시 추가인증 없이 전자금융거래가 가능하다는 설명이다.

아울러 관련 금융보안부문 강화를 위해 금융회사의 예산과 인력을 보다 확충할 필요가 있다고도 권고했다.



이나영 기자 lny@fntimes.com