![[오늘의 운세] 5월 9일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/09/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
!["국민소통 부재, 일하고 뺨맞아" "2년째 문 정부∙국회 탓만" [尹정부 2년-전문가 10인 평가]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/09/5e3ff654-0c1a-4cc5-96a9-0d3ab81d203c.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
![[단독] "산적 통행료냐" 없앴더니…국립공원 탐방객 140만명 늘었다](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/09/4b55f492-3bab-4f45-9b1e-9064f303b471.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
범인은 내부에 있었다. 삼성카드에서 고객 정보 80만 건을 빼내간 것도, 하나SK카드에서 9만7000건의 고객 정보를 e-메일로 유출한 것도 모두 내부자였다. 그것도 본사에서 마케팅을 담당하는 정규직 직원이었다.
“열 사람이 한 도둑 못 잡는 법이다”는 게 카드사의 해명이다. 내부 직원이 그런 일을 저지를 줄 미처 몰랐다는 식이다. 하지만 국가정보원 산업기밀보호센터에 따르면 기업 기밀 유출의 77%는 전·현직 직원의 소행이다. 보안업계는 “상당 부분 기술적으로 예방할 수 있었다”는 반응이다. 내부 보안에 대한 금융권의 무신경과 안일한 대응이 불러온 사고라는 것이다.
보안업체 파수닷컴의 안혜연 부사장은 “금융권 내부 보안은 기술 구축도, 관리도 모두 부족하다”며 “50점도 안 된다”고 말했다.
본지는 21~22일 7개 은행(국민·우리·신한·하나·외환·기업은행, 농협중앙회)과 7개 카드사(신한·KB국민·현대·삼성·비씨·롯데·하나SK카드) 정보 보호 담당자를 대상으로 설문조사를 했다. 이 조사 결과에서도 주요 금융회사의 내부 정보 보안 시스템은 크게 미흡한 것으로 나타났다.
14개 금융사 중 내부정보유출방지시스템(DLP)을 구축한 곳은 여섯 곳뿐이었다. DLP는 내부자에 의해 정보가 밖으로 새어 나가는 걸 막아 주는 대표적인 시스템이다. e-메일·메신저·이동식저장장치(USB)·프린트 등 유출경로를 차단하거나 제한한다. 또 자료 원본과 IP 주소를 남겨 누가 어떤 내용을 어디로 빼가는지 모니터링할 수 있다. 이번에 고객 정보가 새어 나간 삼성카드나 하나SK카드엔 이런 시스템이 없었다. 이 때문에 아직까지 어떤 고객 정보가 새어 나갔는지 파악조차 못하고 있다.
14개 금융사 중 보안 USB를 사용하는 곳도 네 곳뿐이었다. 이미 2007년 국정원은 사용자 식별과 암호화 등 기능이 있는 보안 USB를 사용토록 공공기관에 지침을 내렸다. 하지만 대다수 금융회사는 여전히 일반 USB를 이용하면서 쓰기 권한을 제한하는 식으로 보안을 하고 있다.
금융회사가 내부 보안을 크게 강화하기 어려운 데는 또 다른 이유가 있다. 보안을 높이면 업무 효율이 떨어지기 때문이다. “한 명이 할 일을 4~5명이 하도록 하는 게 보안입니다. 업무 효율성과 보안의 접점을 찾는 게 늘 고민이죠.” 한 은행 정보 보호 담당자는 이렇게 토로했다.
“행장은 바뀌지만 직원은 끝까지 가지 않습니까.” 보안업체 워터월시스템즈 신강우 이사는 최근 한 은행 정보 보호 담당 임원으로부터 이런 얘기도 들었다. 내부 보안을 강화해 일하기 불편하게 만들면 직원들에게 욕먹기 십상이라는 뜻이었다. 신 이사는 “은행이나 카드사 같은 대형 금융회사일수록 내부 직원에 대한 보안을 불편하게 여긴다”며 “금융권이 외부공격(해킹)을 막는 데는 신경 쓰면서도 내부자 단속엔 취약한 이유”라고 지적했다.
‘정보 유출=경쟁력 저하’라는 인식도 부족하다. 제조업체는 신제품 설계도 같은 기밀이 빠져나가면 큰 타격을 받는다. 이와 달리 금융회사에서 새어 나갈 만한 정보는 고객 신상정보 정도다. 정보가 빠져나가도 피해를 보는 건 금융회사가 아닌 고객이다. 보안업체 닉스테크 함재춘 부장은 “기밀 유출에 민감한 제조업체와 달리 금융회사는 ‘설마 내부자가 그러겠느냐’고 여긴다”며 “하지만 이제 개인 정보가 돈이 되는 시대인 만큼 금융사의 인식도 달라져야 할 때”라고 말했다.
물론 기술만으로는 100% 완벽하진 않다. 예컨대 정보를 열람할 수 있는 직원이 마음먹고 종이에 고객 정보를 손으로 써서 갖고 나간다면 이를 막을 기술은 아직 없다. 기술 못지않게 내부 관리가 중요한 이유다. 금융보안연구원 홍시환 선임연구원은 “이제 금융회사도 ‘평생직장’의 개념이 사라지면서 예전 같은 충성을 기대할 수 없다”며 “직원들끼리 서로 감시하거나 내부고발제도를 활성화하는 게 필요하다”고 지적했다.
사고가 잇따르자 금융권은 부랴부랴 보안 시스템 도입에 나섰다. 신한·하나·외환은행과 신한·삼성·하나SK카드는 올해 안에 내부정보유출방지시스템 구축을 마칠 예정이다. 우리은행·농협중앙회·KB국민카드는 보안 USB 도입을 검토 중이다. 개인정보보호법이 30일부터 발효되는 것도 금융회사들이 보안 강화를 서두르는 이유다. 앞으로는 개인 정보가 새어 나가면 기업은 피해자와 관청에 이를 즉시 알려야 한다. 또 피해자들은 기업을 상대로 집단분쟁 조정이나 단체소송을 낼 수 있다.
한애란 기자
