[기자수첩]익숙함과 당연함의 딜레마

최근 한 금융보안 전문가와 우연히 식사하는 자리에서 충격적인 말을 들었다. 카드 3사의 개인정보를 빼간 KCB직원이 오랜 기간 정보 제공 명목으로 월 200여만원의 돈을 주기적으로 받아 왔다는 의혹을 제기했다. 건당 얼마씩 개인 DB를 판매한 게 아니라 DB구매 기업(혹은 일당)으로부터 월급 형태의 돈을 받고, 정보를 제공했을 거라는 증언이다. 만일 이게 사실이라면 이번 카드 3사의 정보 유출 사고는 오래전부터 준비됐거나 이미 해당 정보가 수차례 외부로 팔려 나갔을 가능성이 있다.

카드 3사는 물론이고 KCB가 용역을 맡은 다른 금융사가 보유한 개인 정보도 유출됐을 가능성이 매우 높다는 말이다. 일각에서는 삼성카드와 신한카드 개인 정보 유출 가능성도 다시 한 번 제대로 검사해야 한다는 주장도 제기했다.

보안 전문가들은 이번 카드 3사의 정보 유출 사고가 빙산의 일각이라고 말한다. 바로 정보관리자의 `귀차니즘`과 `비전문성`이 부른 참사라고 입을 모았다. 금융사 보안인력이 개인 정보 관리에 대해 중요성을 인식하지 못하고 외부 용역직원에게 접근 권한을 별도의 승인 절차를 묵살한 채 서버를 통째로 열어준 꼴이다. 보안 승인 등 민감한 부분까지 귀찮다는 이유로 생략했다.

CVC값이나 비밀번호까지 유출됐다면, 엄청난 금융사기 재앙으로 번졌을 것이다.

이미 국민은 금융 신뢰성에 등을 돌렸다. 사후약방문식 관리대책을 방대하게 내놨지만 여론은 냉랭하기만 하다. 정부는 정보유출 사태를 계기로 모든 금융사의 보안 실태를 하나하나 들춰봐야 한다. 정보가 유출된 카드사뿐만 아니라 KCB가 용역을 진행했던 모든 금융사, 더 나아가 은행과 카드, 증권, 보험 등 부문별 현장검사를 실시하고 보안 교육을 강화해야 한다. 사후 관리보다는 예방이 먼저다. 수십 년째 반복되지만 금융당국과 금융사 누구 하나 중요성을 인식하지 못하는 듯하다.

세상 모든 관계는 익숙해지고 결국 당연해진다. 금융 보안도 마찬가지다. 익숙함의 병폐를 없애야 한다. 금융 보안은 촌스러울 정도로 원칙이 지켜져야 한다.

길재식기자 osolgil@etnews.com