정보유출 속, 2금융 내부관리 강화 나서

지난주 금융업권을 강타했던 이슈인 ‘고객정보 유출’에 대한 여풍이 아직도 사그러들지 않고 있는 가운데, 제2금융권이 내부관리 강화에 나서고 있다. 카드업계에서 역대 최대 규모의 고객유출사고가 발생한데 이어 저축은행/캐피탈사 등도 고객정보가 유출됐다는 의혹이 나와서다. 지난 1~2년간 내부유출에 대한 지적이 제기됐지만 아직 관련 사건들이 끊임없이 발생하는 상황이다. 지속적으로 제기되고 있는 2금융권의 내부관리 미흡이 이번 사건을 계기로 개선될지 주목되는 상황이다.

◇ 내부관리 취약성 드러낸 사고… “카드/캐피탈사 등 정보 높아져 타깃”

전문가들은 최근의 고객정보 유출사건은 외부 해킹이 아닌 내부관리의 취약성을 드러낸 유형이라고 지적한다. 지난 1~2년간 많은 고객정보 유출사고가 발생했지만 외부해킹을 통한 사건은 1건에 불과하다. 대부분은 내부직원 및 협력사 직원을 통한 유출사고다.
결국 제2금융권의 내부관리가 취약하다는 것을 의미한다. 외부해킹의 경우 고객정보를 탈취한다기 보다는 시스템을 무력화시키기 위한 것이 주된 목적이어서다. 업계 관계자는 “최근의 유출사고는 내부직원들로 이뤄진 것으로 그간 제2금융권에서 제기됐던 내부관리 취약성이 드러난 것”이라며 “사실상 외부해킹을 방지하는 시스템은 금융사들이 예전에 비해 많이 구축된 상황”이라고 말했다. 물론 전산시스템 보완작업을 위해 내부직원들에게 고객정보를 오픈해야 하는 상황이 발생하는 경우도 종종 있다. 이번 카드사 고객유출사고도 이 같은 과정에서 발생했다.

이뿐 아니라 최근 카드/캐피탈사 등이 주요 정보유출의 타깃이 되는 것도 관련 금융사들이 보유한 우량 고객이라고 말한다. 예전과 달리 카드/캐피탈사 이용 고객 또한 우량 고객이 많이 분포됐기 때문이다. 업계 관계자는 “은행/카드/캐피탈사와 달리 저축은행 등의 고객정보 유출사고가 상대적으로 적은 것은 고객 성향의 차이”라며 “다양한 방법의 금융서비스가 도입되면서 우량고객들이 캐피탈사 등으로 진입, 관련 고객정보의 가치가 높아져 타깃이 되고 있는 상황”이라고 말했다.

◇ 러시앤캐시·IBK캐피탈, “내부관리 강화 중”…저축은행, “중앙회서 관리”

한편, 저축은행 및 대부업체들은 내부관리 강화에 힘쓰고 있다. IBK캐피탈, 러시앤캐시 등은 내부관리 강화를 위해 다양한 방법을 상황이다. 러시앤캐시는 제도권 진출을 위해 저축은행 등 보다 앞선 보안시스템을 갖추기 위해 노력 중이며, IBK캐피탈은 현재 내부 인트라망 및 외부 인터넷 망 분리 작업을 진행하고 있다.

러시앤캐시의 경우 매년 IT운영비 6% 이상을 IT보안 분야에 투자하고 있다. 홈페이지 등 공개용 웹서버에 저장되어 있는 개인정보는 전부 암호화시켰으며, 지난 2011년 7월에 오픈한 차세대시스템(시행처 : 삼성SDS, 사업비 : 150억원)을 운영 중이다. 내부권한관리(IAM, DB접근제어 등), ISMS수준의 관리체계(통합보안모니터링 등)등 최신의 보안기법을 도입해 기존의 보안시스템도 강화한 상태다. 이뿐 아니라 공개용 웹서버를 이용하는 고객PC내 개인정보까지 보호하기 위해 ‘ESE(통신구간 암호화)’ 보완환경 등도 구축했다.
러시앤캐시 관계자는 “제도권 진출을 시도하는 소비자금융사로서 저축은행 등보다 앞선 보안시스템을 갖추기 위해 노력하고 있다”고 말했다.

지난 2011년 5800건의 고객정보가 유출된 IBK캐피탈 역시 현재 내부관리 강화 차원에서 연결망 분리작업을 진행하고 있다. 내부 인트라망과 외부 인터넷망을 분리해 내부관리를 강화에 힘쓰고 있다. IBK캐피탈 관계자는 “내부관리 강화를 위해 현재 연결망 분리작업을 실시 중”이라며 “내부작업 문서에 대한 관리 또한 철저히 통제하고 있는 상황”이라고 말했다.

저축은행들도 저축은행중앙회를 통해 기존보다 강화된 내부관리를 실시하고 있다. 자체적 내부관리 시스템 구축이 어려운 중소형 저축은행들은 중앙회내 보안시스템을 공유해 내부를 관리하고 있다. 업계 관계자는 “작년부터 2금융권 내부관리에 대한 지적이 제기되면서 금융사들이 관련 작업 강화에 나서고 있다”고 설명했다.

◇ 금융당국, 엄중 문책 경고…금감원, “관련 내용 고객에게 통지”
금융당국에서는 최근 금융권의 내부관리 허술에 대해 엄중 경고했다. 신제윤 금융위원회 위원장은 지난 14일 금융위 대회의실에서 주요 금융사 CEO 긴급간담회를 소집해 “고객정보유출사고가 발생하면 물러나는 각오를 하라”고 경고했다.

신 위원장은 “그간 개인정보보호의 중요성을 여러 번 강조했고, 과거 수차례의 사고와 관련해 개선 및 보완노력에도 불구하고 사고가 거듭 재발하고 있다”며 “아직까지도 고객정보 유출사건이 발생하고 있다는 것은 금융사들이 개인정보보호 문제와 관련해 통렬한 반성과 적극적 개선 노력을 기울이지 않았다는 것을 반증하는 것”이라고 말했다. 이어 “특히 내부관리에 대한 금융사 CEO들의 관심과 열의가 미흡했다고 판단된다”며 “금융당국은 금융시스템의 신뢰를 손상시키는 행위에 대해서는 그 어떤 행위보다 엄중한 제재를 적용시킬 것이라고 여러번 밝힌바 있다”고 덧붙였다. 금융사들의 現내부관리에 대해 엄중 경고하고 향후 이 같은 사고가 다시 발생 방지를 당부한 것.

신 위원장은 이뿐 아니라 향후 금융사들의 고객정보유출사건이 발생할 경우 CEO를 포함해 업무관련자를 엄벌하겠다고 선언했다. 수사당국의 수사결과 및 관련법규에 따라 관련자들에게 부과되는 법적조치 외에도 금융당국차원의 행정제재를 부과하겠다는 얘기다.

그는 “금융당국 차원에서도 제재의 실효성 확보 차원에서 법상 허용 가능한 최고한도의 행정제재 부과방안을 검토 중”이라며 “해당사는 물론 CEO를 포함한 업무관련자에게 엄정한 책임을 묻겠다”고 말했다.

한편, 금융감독원은 15일 3개 신용카드사 고객정보 유출사고에 따른 고객 2차피해를 최소화하기 위해 관련 확인작업 완료와 함께 해당 고객에게 통지한다고 밝혔다. 이를 통해 해당 카드사가 정보유출 내역과 함께 피해 최소화 방법 및 피해구제절차 등을 고객에게 통지토록 할 예정이다. 금감원 측은 “이달 중 금감원내 ‘정보유출감시센터’를 설치해 추가적인 유출사례 및 피해사례 등에 대한 신고를 받을 예정”이라고 설명했다.



서효문 기자 shm@fntimes.com