은행들이 카드사 정보유출 사태를 반면교사(反面敎師)로 삼아 관련 조직을 개편하고 고객 정보 관리 체계를 강화하고 있다.
국민은행은 상반기 중에 직원의 개인 컴퓨터에 고객 정보를 저장하지 못하게 할 계획이다. 개인 컴퓨터에서 정보를 저장하지 않고 가상화면으로 조회만 할 수 있게 하겠다는 것이다. 또 이달 중으로 이동식 저장장치(USB)를 쓰거나 e메일을 보낼 때 일일이 정보보호본부의 승인을 받게 할 방침이다. 그동안은 부서장의 승인만 받으면 가능했다. 국민은행 김종현 정보보호본부장(상무)은 “형식적인 절차에 그치지 않도록 제3자 승인을 받게 하고, 정보보호본부의 통제를 강화할 것”이라고 설명했다.
신한은행도 USB에 파일을 저장하려면 정보보안본부에서 고객 정보 유출 우려가 없는 내용인지 살펴 허용 여부를 결정한다. 지점에서도 정보보안본부가 원격으로 파일의 내용을 확인한 뒤에만 저장이 가능하다. 우리은행은 직원용 컴퓨터를 주기적으로 점검해 고객의 개인정보가 저장돼 있으면 이를 삭제하도록 할 계획이다.
정보보호 담당 부서를 따로 설치하거나 임원급을 배치하는 등 조직개편도 이뤄지고 있다. 최근 하나은행과 외환은행은 각각 고객정보보호본부를 새로 만들었다. 신한은행은 기존 정보보안실을 정보보안본부로 확대 개편하고 본부장을 부장급에서 임원급(상무)으로 높였다. 농협은행도 IT본부의 보안업무 담당 부서를 은행장 직속 정보보호본부로 독립시킬 계획이다. 우리은행은 고객 정보의 관리 현황과 보완점을 논의하는 고객정보보호협의회(TF)를 이달부터 운영한다.
이는 대부분의 금융사들이 최고정보관리책임자(CIO) 산하에 정보보호 관련 부서를 두거나 IT 관련 부서장이 최고정보보호책임자(CISO)를 겸직하다 보니 고객 정보 보호에 소홀할 수 있다는 지적에 따른 것이다. 지난달 22일 금융위원회도 큰 규모의 금융회사에 대해서는 신용정보 관리·보호인을 임원으로 임명해 권한과 의무를 강화하도록 하겠다고 밝힌 바 있다. 업계 관계자는 “최고정보관리책임자(CIO)는 IT 효율화를 추구하지만 최고정보보호책임자(CISO)는 불편하더라도 고객 정보 보호를 최우선하기 때문에 역할 자체가 상충된다. 따로 두는 것이 맞다”고 말했다.
박유미 기자
