러시앤캐시, “금융업계 1등 보안 갖췄다”

작년에 ‘개인정보보호법’이 발효되면서 개인정보관리에 대한 관심이 높아졌다. 이에 따라 고객정보 가치가 가장 중요한 금융권에서는 관련 관리 및 체계가 한층 강화됐다. CISO(최고정보보호책임자 : Chief Information Security Officer) 선임, 개인DB 암호 알고리즘 등의 조치가 의무화된 것. 그간 개인정보 관리에 있어 취약하다고 지적받은 제2금융권 및 대부업계도 이 같은 노력을 기울이고 있다. 이중 대부업계는 은행·보험 등 1금융권 못지 않은 보안시스템 구축을 위해 힘을 쏟고 있다. 대부업체는 금융당국 소속이 아닌 치안당국(행정안전부) 소속이지만, 소비자금융을 영위해 높은 개인정보 관리 시스템이 요구되기 때문이다.

특히 업계 1위사인 러시앤캐시는 저축은행 등 제2금융권 보다 앞선 보안시스템을 갖추기 위해 많은 역량을 집중하고 있다. 러시앤캐시측은 현 보안시스템을 구축하기 위해 약 200억원이 소요됐으며, 비약적으로 발전하는 해킹기술에 대한 예방책 마련에 자금투입을 아끼지 않을 것이라고 설명한다.

◇ 법 시행 불구…제2금융권 및 대부업계, 관련 내부관리 아직 취약
금감원은 지난달 31일 대출모집인 관리실태 및 불건전영업행위(2012년 5월~7월 실시)에 관한 테마검사 결과를 발표했다. 발표에 따르면, 적발된 6곳 중 5곳이 제2금융권이었고 특히 HK저축은행은 고객의 사전동의 없이 개인신용정보를 부당하게 조회한 것으로 드러났다.

이처럼 개인정보보호법이 시행됐음에도 불구하고 제2금융권 및 대부업계는 아직 개인정보 내부관리가 취약하다는 것이 업계 중론이다. 이 중 중견 이하 저축은행 및 캐피탈, 대부업체 등은 매우 심각하다고 보고 있다.

업계 관계자는 “저축은행중앙회는 작년 9월 각 저축은행들에게 개인정보 내부관리 지침을 내린바 있고, 대부협회 또한 이를 준수토록 권고하고 있다”며 “중견이하 업체들은 자금력 부족 등의 이유로 개인정보 내부관리시스템 투자가 미흡하다”고 말했다. 라진홍 에이앤피파이낸셜 전산본부장은 “저축은행·캐피탈·대부업체 등은 은행·보험사 등에 비해 보안 인프라 투자 여력이 부족하다”며 “특히 중견이하 업체들은 매우 심각한 상황”이라고 설명했다.

이어 “이 분야에 대한 투자를 지속적으로 미룬다면 개인정보관리에 있어 큰 문제를 야기하게 될 것”이라며 “중견 이하 업체들도 어렵겠지만 이 분야에 대한 투자를 실시, 개선 노력 및 의지를 보여야 한다”고 덧붙였다.

◇ 러시앤캐시, 150억원 ‘BSP시스템 구축’…“해킹 즉시대응체계 도입”
제2금융권 및 대부업체의 개인정보 내부관리가 취약하다는 지적이 나오는 가운데, 대부업계 1위사인 러시앤캐시는 최근 몇 년간 보안 인프라 투자를 지속하고 있다. 인프라투자에 소요된 비용만 약 200억원에 이른다. 러시앤캐시 측은 고객들에게 높은 신뢰를 받기 위해 개인정보 보안에 만전을 기하고 있다며 투자 이유를 설명했다.

현재 러시앤캐시는 매년 IT운영비용 6%를 IT보안 분야에 투자하고 있다. 해킹기술의 급격한 발전과 고도화에 따른 싸움에서 자사의 고객정보를 더 안전하게 보호하기 위해서다. 홈페이지 등 공개용 웹서버에 저장돼 있는 고유식별정보(주민등록번호, 여권번호, 외국인등록번호), 비밀번호 및 바이오 정보 등 개인정보도 암호 알고리즘으로 암호화해 운영 중이다. 공개용 웹서버를 이용하는 고객PC내 개인정보 보호를 위해서도 ‘E2E(보안서버, 키포드보안)’ 보안환경도 구축했다.

내부적인 보안 또한 2011년에 한층 더 강화시켰다. 페쇄망(전용선)으로 운영되는 내부시스템 개인정보 역시 2011년 7월 18일에 오픈된 차세대시스템인 ‘BSP시스템’을 통해 국가인증 암호화 솔루션을 활용, 암호화했다. 이 시스템의 시행처는 삼성SDS며 사업비용으로는 150억원이 소요됐다. BSP시스템은 방송통신위원회에서 인증하는 ‘ISMS(인터넷 등 정보통신망을 활용해 연 매출 100억원 이상 업체가 준수해야 하는 기준)’에 입각해 설계됐다. IAM(계정접근관리), DB접근제어 등 내부권한관리 및 체계의 수준을 강화한 것이다.

시스템뿐 아니라 보안체계 및 관리 또한 즉시대응 체계를 목표로 운영 중이다. 개인정보보호 관련 법규인 행안부 ‘개인정보보호법’, 방통위 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, 금감원의 ‘전자금융감독규정’을 기준으로 고객정보보호를 위한 물리·기술·관리적 보호조치를 수행하고 있다.
물리적 보호를 위해서는 공개용 웹서버 등 고객정보가 저장된 모든 시스템을 전산시스템 전문IDC(인터넷데이터센터 : Internet Data Center)인 상암IDC(LG-CNS)에서 운영된다. 기술적 보호를 위해서는 내·외부로부터의 침해방지를 위해 VPN(가상사설망 : Vitural Private Network) 방화벽, 침입방지시스템(IPS), 웹방화벽에 의해 차단·예방·모니터링 되고 있다. 여기에 고객정보 유출을 방지하기 위해 문서보안시스템(DRM), 출력물관리시스템(FAX, 프린터, 복사)을 운영하고 있다. DB암호화솔루션 및 고객정보에 대한 직접적인 접근통제를 위한 DB접근제어솔루션 또한 도입했다.

관리적 측면에서는 체계적인 고객정보 관리를 위해 CEO 직속의 ‘보안관리실’을 조직했다. 보안관리실에서는 고객정보 운영실태 파악, 고객정보 사용자에 대한 모니터링 및 고객정보관리 규정제정 등 관련 제반 업무를 수행 중이다.

신속한 ‘보안침해시도 대응체계’는 러시앤캐시 측이 내세우는 보안 인프라의 또 다른 자랑이다. 러시앤캐시는 보안 인프라 구축뿐 아니라 통합보안모니터링 시스템을 통해 실시간 침해시도에 대한 정보를 획득해 연계 대응하고 있다. 전문보안업체인 ‘사이버원’과 제휴해 ‘24x7 보안관제 및 대응서비스’를 운영 중이다. 이 시스템은 ‘24시간 x 7일’이란 의미로 일주위 단위씩 실시간으로 모니터랑하는 체제로 돌아간다. 침해시도시 전문보안업체 침해대응팀과 연계하는 즉시대응 체계를 구축 한 것. 또 분기별 1회 이상 공개용 웹서버 등 개인정보가 운영되는 시스템에 대한 취약점 분석 및 모의해킹을 실시, 미비점을 진단·조치하고 있다. 임직원들 역시 전문보안업체를 통한 교육 등을 통해 최신 해킹정보 및 대응기술을 습득시켜 적시에 반영하고 있다.

에이앤피파이낸셜 전산시스템팀 관계자는 “대부업체의 경우 자산 100억원 이상 대형 대부업체만 금감원에 검사를 받지만, 자사는 소비자금융을 영위하는 곳으로 은행·보험사 등과 준하는 보안시스템 구축을 위해 노력을 기울이고 있다”며 “향후 고객들에게 더 신뢰받는 소비자금융사로 거듭나기 위해 이 같은 행보를 멈추지 않을 것”이라고 말했다. 중소형 대부업체인 JP인베스트먼트의 김영석 사장도 “자금여력이 충분한 대형사뿐 아니라 중소형사도 보안시스템 강화를 위해 노력 중이다”며 “대부업계에서는 고객들의 신뢰를 얻기 위해 고객정보 보안강화에 최선을 다할 것”이라고 설명했다.

◇ 허위 개인DB 협박사건, “러시앤캐시와 무관”

한편, 러시앤캐시는 지난달 29일 발생한 ‘허위 고객정보 유포 금품 협박사건’과 자사는 관련 없다고 밝혔다. 이 사건은 용의자 권모씨가 카지노에서 우연히 매입한 허위 고객정보를 이용해 큰 돈을 벌 목적으로 에이엔피파이낸셜대부에게 공갈·협박한 사건이다.

러시앤캐시 측은 “범인이 소지한 데이터는 당사에서 유출된 고객정보가 아니다”며 “당사는 각 고객정보를 알고리즘 암호화, 해킹을 통해 유출 및 해석이 될 수 없다”고 말했다. 이어 “향후 철저한 수사가 이뤄지기 기대한다”며 “앞으로도 경찰 수사에 적극 협조할 계획”이라고 덧붙였다.

                              〈 러시앤캐시 IT보안 운영현황 〉
                                                            (자료 : 에이앤피파이낸셜 전산관리시스템팀)



서효문 기자 shm@fntimes.com