연이어 터지는 정보유출사고, 막을 방법은?

김보리 기자I 2014.01.21 17:06:57

보안 전문가들, "국내 금융기관 보안의식 허술하다" 지적
"인재 예방위해 사기업 CISO 제도 정착돼야" 강조

[이데일리 김보리 김경은 기자] 외부 저장장치(USB)하나로 1억건이 넘는 신상정보가 털린 사상 최악의 정보유출 사고가 발생했다. 주민등록번호는 더 이상 나만 아는 번호가 아니란 말이 나올 정도다. 혼란의 시대 내 신용정보를 안전하게 지키려면 어떻게 해야할까. 전문가들은 금융소비자의 개인 정보 관리도 중요하지만, 금융기관의 보안에 대한 인식 전환이 먼저라고 지적했다.

◇USB 하나로 1억여건 정보 유출..“카드사, 도덕적 해이”

이번 개인정보 유출은 인재에 가깝다. USB로 인한 정보 유출은 정보 유출은 보안의 가장 초보적인 단계다. 물론 개인정보가 유출된 카드 3사 모두 USB로 인한 개인 정보 복사를 차단하고 있다.

하지만, 여기에는 예외 조항이 있다. 외부인이라고 하더라도 상급자의 결제가 있으면 접속이 가능하거나 사유를 제출하면 USB 차단을 잠시 풀어주는 것 등의 방식이다.

함유근 건국대 교수는 “이번 사안은 보안 기술의 문제라기 보다는 내부인의 보안인식의 허술함을 보여주는 사태”라면서 “보안의 가장 기본인 USB로 인한 정보 유출은 금융사 기관장과 보안담장자가 개인정보관리에 대한 관심과 허술함을 보여주는 잣대”라고 말했다.

보안 메뉴얼 제정 보다는 기본적인 관리 감독이 소홀함을 지적하는 목소리가 높았다.

박창제 단국대 교수는 “조직 내에서 메뉴얼은 가지고 있지만 이것이 제대로 실행되지 않는 것이 문제”라면서 “각 금융사가 말로는 소비자 정보 강화를 말하지만 실제로는 온도차가 있다”고 언급했다.

◇ 금융소비자, 뭘 해야 하나..비밀번호 변경 등 제한적 보호 가능

우선 개인정보 유출 확인 시, 신용카드 비밀번호를 변경하거나 아예 재발급을 신청하는 것이 가장 좋다.

NH농협카드와 롯데카드의 경우 카드번호와 유효기간이 모두 유출됐다. 일부 해외 쇼핑 사이트와 홈쇼핑, 방문 판매 등에서는 신용카드 번호와 유효 기간만 알아도 거래를 할 수 있어 2차 피해가 우려되기 때문이다.

이외에도 신용정보회사에서 제공하는 개인정보보호 서비스에 가입하는 것도 안전판이 될 수 있다. 대출이나 카드를 발급할 경우 휴대폰 메시지로 통보해주는 등 실시간으로 본인 신용정보가 어떻게 이용되고 있는지 받아볼 수 있다. 신용카드사 정보유출의 책임이 있는 코리아크레딧뷰로(www.koreacb.com)는 개인정보보호 서비스를 향후 1년간 무료로 제공하기로 했다.

하지만 이 역시 대상을 피해고객에서 전국민으로 확대하면서 다음달 13일 이후 크리아크레딧뷰로 홈페이지에서 가능하다. KCB관계자는 “다음달부터 이메일 등 아주 기본적인 개인 정보만 입력하면 개인정보보호 서비스를 받을 수 있다”고 말했다.

◇인재(人災) 예방…내부 보안전문가 수준 높여야

1억건이 넘는 카드사 개인정보 유출 사태가 외부 용역 직원의 일탈에서 비롯된 인재(人災)인 만큼, 수많은 고객의 자금을 관리하는 금융기관은 자체 보안책임자(CISO) 수준을 강화해야 한다고 전문가들은 지적했다.

최근 연이어 민간 금융기관을 통한 정보유출 사고가 터지면서 금융당국은 최고정보보호책임자(CISO) 직책을 도입하고, 최고정보관리자(CIO) 직책과 동급으로 승격시키도록 했다. 하지만 불과 몇달 전만 하더라도 정보 보호 시스템을 관리하는 관리자가 없었던 곳이 대부분이었다.

무엇보다 근본적인 문제는 금융기관들이 보안 시스템 정비나 고객 정보 관리 등 수요 수익사업과 연관되지 않은 사업은 외부 용역을 통해 해결하는 것도 문제라고 전문가들은 지적했다.

한국인터넷진흥원 관계자는 “수 백조원이 넘는 고객 돈을 다루는 금융기관이 자체 보안 시스템을 구축하지 않는 것은 사고를 키운 가장 큰 요인”라며 “외부 용역 직원이 손쉽게 타 금융기관의 정보를 획득하게 되면서 도덕적 해이(Moral Hazard)가 발생하게 된 것”이라고 말했다.

그는 이어 “아무리 수준 높은 장비가 있어도 직원이 내부 사람이 아니라면 통제는 불가능하지 않겠냐”며 “보안 인력을 현재보다 훨씬더 강화하고 CISO 직책을 강화해야 할 필요가 있다”고 덧붙였다. 현재 대부분의 기업들은 CIO가 CISO를 겸직하고 있어 실효성 있는 제도로 정착되지는 못한 상황이다.

▶ 관련기사 ◀
☞ 카드정보유출 2차 피해 보상 실효성 있나
☞ 정보유출 카드 3사, 카드 재발급·해지 120만건 육박
☞ 카드사 정보유출 재발방지 종합대책 22일 발표
☞ 카드사 정보유출됐지만 '보이스피싱' 안 늘었다
☞ [기자수첩]카드사태, 임원 줄사퇴가 씁쓸한 이유
☞ 서상기 “카드사태 유출, 배후 불온세력 수사해야”


주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지