[금융보안특집]삼성카드

1억여명의 카드사 고객정보를 빼낸 초유의 범죄를 저지른 코리아크레딧뷰로(KCB) 직원이 삼성카드 회원정보 유출에는 실패했다. 금융당국 조사 결과, 이들은 정해진 정보보호 관련 규정을 엄격히 지켰기 때문인 것으로 나타났다.

금감원의 전자금융 감독규정은 컴퓨터 등 단말기에 보조기억매체(USB 등)를 접근하지 못하도록 정하고 있다. 삼성카드는 이 규정을 지켜 KCB 직원이 자신의 컴퓨터에 USB를 꽂는데 실패했다. 실제로 이 직원은 국정감사에서 삼성카드의 규정이 까다로와 정보유출에 실패했다고 증언하기도 했다.

삼성카드는 고객정보보호에 대한 중요성이 높아짐에 따라 고객정보 보안 수준을 매우 강화하고 있다. 고객정보에 접근할 수 있는 권한 부여 기준을 상향하고 전직원을 대상으로 정기적으로 시스템 보안 교육을 진행 중이다.

삼성카드는 고객정보 접근권한이 있는 관리자 및 실무자를 대상으로 특별 보안교육을 상시 진행하고 있다.

최근에는 보안 규정을 보다 강화해 보안 예외 권한 적용을 위해서는 임원 등 경영진의 결재를 얻도록 했다.

자체 점검반을 구성하고 전부서의 고객정보 관리실태를 파악해 불필요 정보를 삭제하는 등 정보유출 통로를 원천 차단했다.

사용 중인 PC의 업무 영역과 인터넷 영역을 구분하는 망 분리 시스템도 적용해 운영 중이다.

또 개인정보 유출 가능성을 원천 차단하기 위해 부서장 이상 책임자의 확인 및 결재를 얻은 경우에 한해 외부로 문서를 발송할 수 있다.

모든 문서 파일은 자동 암호화가 되는 문서파일 암호화(DRM)시스템을 도입하고 있어, 외부로 문서가 노출되더라도 문서가 열리지 않도록 사전 차단하고 있다.

이외에도 USB 및 웹하드, 블루투스 등의 사용이 전면 차단돼 있으며, 출력물에 대한 이력 관리도 이뤄지고 있다. 고객정보가 포함된 내용의 경우 시스템적으로 부서장 확인·결재를 거쳐야만 출력이 가능하도록 하고 있다.

삼성카드는 별도 PC 보안장치를 도입해 USB 등 이동식 저장매체에 대한 저장을 원천 차단하는 등 보안 조치를 대폭 강화했다. 문서 중앙저장솔루션을 도입해 모든 개발자 PC 자체에 자료 저장이 불가능하도록 만들었다.

전사 보안교육도 확대했다.

전 임직원을 대상으로 연간 2회 보안 특별 교육 및 사이버 보안 교육을 진행하고 있으며, 채용·승진·승급자 교육 등 각종 교육 프로그램 진행시 보안 교육을 필수 교육사항으로 지정해 운영하고 있다.

부서별로 보안담당자를 임명하고 담당자 교육을 통해 해당 부서에서 발생할 수 있는 각종 보안 사항을 상시 점검토록 하고 있다. 고객정보 접근권한이 있는 관리자 및 실무자를 대상으로 특별 보안교육도 상시 진행하고 있다.

이 외에도 고객정보 보호 등을 위한 보안서약서를 전 임직원이 작성해 보안에 대한 중요성 등을 스스로 인식하고 실천할 수 있도록 하고 있다.

외부 인력에 대한 관리도 철저한 관리체계를 도입했다.

외부 인력 출입 시 사전에 보안 프로그램이 설치된 회사 PC를 통해 작업을 진행하도록 의무화했다. 근무기간동안에는 PC 케이블 잠금 장치를 설치해 임의로 PC를 반출하는 것을 원천적으로 차단하고 있다.

길재식기자 osolgil@etnews.com