금융권 보안사고는 정보유출 자체의 심각성도 있지만 유출된 개인정보로 발생하는 2차 피해가 더 큰 문제가 되고 있다. 이는 금융권의 특성상, 정보 유출의 파급효과는 단순히 개인의 신상정보 유출에서 그치지 않고 개인의 신용정보와 비밀정보 등이 악용돼며 금전적인 피해로 직결될 수 있기 때문이다.
이 같은 산업 특성상 금융권은 타 산업군에 비해 비교적 우수한 보안 환경을 구축하고 있다고 할 수 있으나 DB암호화 및 고유식별번호 처리 제한에 관한 이슈에 아직 충분한 해결책을 찾지 못하고 있다. 또 ‘CSO(Chief Security Officer) 지정’이나 ‘IT 예산 중 정보보호 예산 5% 확보’ 등 금융감독원의 권고사항이 충분히 이행되지 않고 있다.
금융감독원 등 감독기관은 안전한 금융거래를 위해 다양한 대응방안을 수립하고 시행을 감독하고 있지만 제1 금융권에 비해 상대적으로 제2, 제3 금융권은 또 다른 보안 사각지대가 되고 있는 실정이다.
보안사고를 예방하기 위해서는 DB암호화와 같은 특정 솔루션의 도입이나 담당자 지정과 같이 단편적인 대응으로는 점차 지능화, 고도화되고 있는 해킹 위협이나 금융사고 예방에 충분한 보호대책이 되기 어렵다.
보다 근원적인 대응방안이 필요하며 이를 위해서는 우선적으로 규제 및 감독기관은 보안의 사각지대가 없도록 관련 기준을 마련하고 점검 및 계도 활동을 강화해야 할 것이다. 또 각 금융기관은 타사 사고 발생 시 해당 사고의 원인이 되는 부분만 보완하는 사후약방문식의 대처가 아니라 금융거래 전반을 대상으로 하는 통합적, 체계적인 보호대책 수립이 필요하다.
예를 들어 금융사업자가 고객의 개인정보를 보호하기 위해 마련해야 하는 내부 규정〃지침과 같은 보안 관리의 철저한 수립 및 이행 등의 관리적인 조치가 필요하다. 개인정보보호 내부관리계획 수립은 체계적이고 전사적인 개인 정보보호 활동이 그 목적이며 이를 위해서는 해당 기업 경영진의 적극적인 참여와 지원이 필수다. 금융 사업 특성에 따라 다양한 개인정보 수집〃취급 형태가 있을 수 있으므로 각각의 사업자는 자사의 개별적인 특성을 반영해 내부관리계획을 작성해야 한다.
‘개인정보보호법’ ‘금융회사의 전산장비 내부통제 모범 규준’ ‘신용정보보호법’ 등 상급기관의 보안규정은 각 금융기관이 목표로 하는 궁극의 보호수준이 아니라 최소한의 보호조치 기준으로 인식할 필요가 있다.
인포섹 컨설팅 사업본부 허경석 수석 ksheo@skinfosec.co.kr