[이슈분석]외주인력 맘대로 '보안 OFF'...CISO 역할 제한이 만든 참사

이번 정보 유출의 근본적인 원인으로는 허술한 외주 인력 관리감독 체계와 최고정보보호책임자(CISO)의 제한된 역할이 지적된다. 또 금융그룹 내 계열사끼리 고객 정보를 공유할 수 있도록 한 금융지주회사법도 문제로 꼽힌다.

◇외부 인력의 USB 이용 유출…허술한 `관리감독`

사건은 외주 인력이 각 회사의 전산망에 접근해 USB 메모리에 고객 정보를 복사하면서 발생했다. 개인신용정보회사 코리아크레딧뷰로(KCB)의 A씨는 지난 2012년 5월부터 2013년 12월까지 NH카드·KB카드·롯데카드 회사에 파견돼 위·변조 탐지 시스템 개발 프로젝트(FDS) 관련 용역을 수행했다. 이 과정에서 각 회사 전산망에 접근해 USB에 고객정보를 복사해 몰래 가져왔다.

업계는 금융권이 대부분 외주 인력에게 내부 시스템 최고 접근 권한을 부여하면서 보안 수칙 준수 여부는 제대로 관리하지 않는 것으로 내다봤다. 루트 권한을 갖고 있어 보안 기능을 잠시 중단시켰다는 것이다. 결국, 외부 인력 뿐만 아니라 내부 인력도 충분히 주요 정보를 빼내갈 수 있는 가능성이 충분하다는 뜻이 된다.

이처럼 관리가 허술한 근본적인 원인은 금융기관에서 대부분 CIO가 CISO를 겸임하거나 상위 조직으로 있기 때문으로 지적했다. 효율적인 시스템 운영을 최대 목표로 하는 CIO가 CISO 위에 위치해 보안 부문은 상대적으로 약화될 수밖에 없다는 설명이다.

업계는 한 관계자는 “업무 편의 때문에 외주 인력에게 지나치게 많은 권한을 주고 있는 것”이라며 “지금과 같은 관리 체계에서는 마음만 먹으면 또 다른 고의적 정보 유출도 가능하며 이는 내부 인력도 동일하게 적용되는 문제”라고 지적했다.

금융감독원은 이번 사고 후 전체 금융기관을 대상으로 직원 등 내부 이용자에 의한 정보유출사고 방지를 위한 내부통제절차를 강화하도록 했다. 대출모집인, 정보시스템 개발인력 등 외주 용역 직원에 대한 관리 수준도 높인다. 외부 해킹으로부터 고객정보를 보호하기 위한 정보기술 부문 보안 대책도 강화할 방침이다.

◇계열사끼리 정보 마음대로 공유?…금융지주회사법도 문제

또 다른 원인으로 금융지주회사법이 지적된다. 지난 2002년 만들어진 금융지주회사법 제48조의2에 따르면 금융그룹 내 계열사끼리는 영업을 목적으로 고객 정보를 제한없이 공유하고 이용할 수 있다. 계열사간 정보 공유로 시너지를 높인다는 목표다. 하지만 당초 취지와 달리 관련 규정은 개인정보 보호에 문제가 있어 끊임없이 지적을 받아왔다.

이 조항에 의해 제공되는 개인신용정보는 금융거래 내용, 이름, 주소, 주민등록번호, 성별, 국적, 증권 예탁금, 대출 보증, 담보제공, 당좌예금, 신용카드 할부금융, 개인 채무와 소득 총액, 납세실적 등이다.

금융위원회에 따르면 국내 12개 금융지주그룹은 지난 2011년부터 2012년까지 약 40억건의 고객 정보를 그룹 내 회사에 제공했다. 고객 정보 중 67%인 27억건은 위험관리, 고객분석, 영업점평가, 고객등급산정, 우수고객관리 등 그룹 내 경영관리 목적으로 사용됐다. 하지만 나머지인 33%(13억건)는 고객 본인이 직접 가입하지 않은 자회사나 손자회사가 보험텔레마케팅, 신용대출상품판매 등 영업을 목적으로 이용했다.

이번 정보 유출 사태 후 개인정보보호위원회는 최근 금융지주그룹이 갖고 있는 금융거래정보와 개인신용정보 등 고객 정보를 그룹 내 회사에 제공할 경우 고객의 개인정보에 대한 `자기 결정권`을 최대한 보장할 수 있도록 제도를 개선하라고 통보했다. 또 고객정보 이용 후 정기적으로 고객에게 내역을 통지하도록 제도를 도입할 것을 금융위에 권고했다.

이밖에 신용카드사와 결제은행 시스템을 연계하는 보안 체계의 부실도 문제로 꼽힌다.

이번 국민·롯데·농협카드에서 유출된 개인정보에는 결제은행의 계좌번호와 직장 및 회사주소, 신용등급, 이용실적 금액, 결제계좌 결제일, 연소득, 신용 한도금액 등이 포함됐다. 신용카드사 개인정보를 넘어 결제은행이 관리하는 온갖 민감한 정보가 가득 담긴 셈이다.

업계는 신용카드사와 결제은행 시스템간 보안 체계가 제대로 갖춰졌거나, 결제은행 정보가 암호화 됐다면 고객 정보 유출 피해는 중간에서 막을 수 있었을 것으로 분석했다.

유선일기자 ysi@etnews.com