최악의 개인정보 유출 사고가 재발하지 않기 위해서는 종합적인 대안 마련이 필요하다는 게 업계 분석이다. 정보가 빠져나가는 기초적인 경로 차단에서부터 최고정보보호책임자(CISO)의 역할 강화와 금융지주회사법 개정 등 법·제도 개선, 외주 인력에 대한 관리감독 강화가 주요 대안으로 제시된다.
◇외주 인력 접근, 철저하게 관리해야
금융 정보 유출을 막기 위해서는 회사 전산망에 자유롭게 접근할 수 있는 외주 인력에 대한 관리감독 강화가 필수적이다. 이번 사건은 외주 인력이 카드사로부터 암호화가 해제된 데이터를 받아 USB에 고객 정보를 복사해 유출된 사건이기 때문이다.
실제로 최근 금융권에서 발생한 개인정보 유출 사건의 상당수가 전산망에 자유롭게 접근할 수 있는 외주 인력에 의해 일어난 것으로 알려졌다. 서버에 직접 접속하는 외주 인력은 대부분 내부 시스템 접근 최고 권한을 부여받고 있다.
업계는 업무 효율 때문에 보안을 무시하고 외주 인력에게 지나치게 많은 권한을 주는 문제를 제도적으로 개선해야 한다고 지적했다. 외주 인력에 대한 근본적인 통제와 데이터베이스(DB) 암호화 등 데이터 보안에 대한 고민이 더 필요하다는 지적이다.
업계 한 관계자는 “지금의 체계로는 외주 인력이 맘먹고 정보를 빼가려면 충분히 가능한 상황”이라며 “외주 인력에 대한 권한 조정과 시스템적 관리가 필요하다”고 말했다.
또 현재 아웃소싱 체계 위주로 굳어진 금융 IT시스템 개발을 인소싱으로 전환하는 것이 필요하다. 내부 인력이 정보를 빼내가는 문제도 방지할 수 있는 강화된 보안 정책을 수행해야한다.
이를 위해서는 CISO의 역할과 독립성 강화도 해결책으로 제시된다. 대부분의 금융업계는 CIO가 CISO를 겸임하고 있어 보안 강화에 한계가 있다는 지적이다. 보안 보다는 시스템 개발에 비중을 높게 둘 수 밖에 없기 때문에 이번과 같은 사고가 발생했다는 분석이다.
실제로 은행권 중 CISO 조직을 CIO 조직과 분리해 별도 운영하고 임원급 CISO를 둔 은행은 국민은행 한 곳 뿐이다. 우리·하나·기업·산업은행 등은 CIO가 CISO를 겸임한다. 정보보호 부서도 대부분 IT본부 안에 조직됐다. 하나은행은 IT본부가 아닌 행장 직속 조직으로 정보보호부를 신설해 운영하고 있다. 하지만 임원급이 아닌 부장급이 조직을 이끌고 있다. 공식적인 CISO는 CIO가 겸임한다.
업계는 은행권의 전임 임원급 CISO 제도가 정착되지 못하는 것은 의무화가 이뤄지지 않았기 때문으로 지적했다. 금융감독원은 지난해 7월 금융보안 종합대책을 발표하면서 대형 금융사를 대상으로 CISO와 CIO의 겸임을 금지하도록 했다. 그러나 CISO와 CIO 겸임 금지를 의무화하기 위해서는 전자금융거래법 개정이 필요하다. 금융위는 향후 CISO와 CIO 겸임 금지 기준을 마련해 국회 상정에 나설 것으로 보인다.
업계 한 관계자는 “금융권은 편의상 CIO와 CISO를 겸임하도록 해 보안 강화에는 한계가 있다”며 “이번 일을 계기로 CISO의 독립성은 높이고 권한을 강화해 보안 사고를 철저하게 예방해야 한다”고 말했다.
◇금융지주회사법 이번에는 꼭 바꿔야
금융지주회사법 개정도 시급하다. 금융그룹이 그룹 내 계열사끼리 영업을 목적으로 고객 정보를 제한없이 공유·이용할 수 있도록 한 조항을 수정해야 한다.
관련 문제는 그동안 끊임없이 제기됐다. 실제로 안전행정부는 지난해 중순에도 금융위원회에 관련 규정 개정의 필요성을 제기한 것으로 알려졌다. 한 그룹 내에서 고객 정보가 별다른 제약 없이 옮겨다니는 과정에서 발생할 수 있는 정보 오남용, 정보 유출 가능성을 지적한 것이다.
또한 관련 조항은 개인정보보호법, 신용정보보호법 등과 상충한다는 게 전문가들의 공통된 의견이다. 지주회사는 경영 편의를 위해 지주사와 자회사로 분리 운영되고 있을 뿐 법인이 서로 다르기 때문에 고객 정보를 서로 공유하는 것은 법적으로 불합리하다는 평가다.
업계 한 관계자는 “그동안 조항 수정의 필요성은 지속적으로 제기됐다”며 “최근 개인정보보호위원회가 고객의 개인정보에 대한 `자기결정권`을 최대한 보장할 수 있도록 금융위에 제도 개선을 권고한 만큼 이번에는 반드시 수정이 이뤄져야 할 것”이라고 말했다.
업계는 이밖에 그룹 내 계열사간 정보 공유가 불가피하다면 인증 과정을 거치는 등 추가적인 제도적 보완이 필요하다고 설명했다.
유선일기자 ysi@etnews.com