[개인정보 유출…이대로 괜찮나]보안정책 있으나마나…‘관리허술’이 문제

* 외주직원 불법행위 막지 못해…관리감독 강화해야

금융권 정보유출 사태가 반복되는 것은 법과 정책의 부재, 보안 성능이나 기능의 문제보다 외주업체 직원 등 데이터 접근권한 보유자에 대한 ‘관리 허술’ 등이 원인으로 지적되고 있다.

개인정보보호법 등에 따라 기업들은 데이터베이스(DB)의 개인정보 암호화, IT센터 출입규제 등을 시행하고 있지만, 유출된 개인정보 4건 중 3건이 외주 직원의 범죄행위로 인해 발생하는 등 인력에 대한 관리감독이 뚫려있기 때문이다.

26일 업계에 따르면 우리나라 금융기관은 세계 어느 금융기관보다 IT투자 비중이 높은 편이라며 반복되는 금융권 정보유출 사태를 막기 위해선 다양한 IT기술로 인한 보안 강화가 전부가 아니라는 분석이다.

최근 KB국민카드·NH농협카드·롯데카드 등 카드회사 3곳에서 1억건이 넘는 고객정보를 빼낸 사건도 IT사고가 아니라 신용정보업체 직원의 불법행위인 것으로 알려졌다.

실제로 최근 5년간 금융회사, 기업, 공공기관에서 유출된 개인정보는 1억3752만건으로 이 중 위탁업체 직원의 범죄행위로 인한 유출이 전체의 75%인 1억410만건에 달했다.

이어 홈페이지·웹서버 등 해킹에 의한 유출이 3027만건, 내부직원 유출이 220만건, 업무 목적 외 유출이 92만건, 내부직원의 단순실수가 2만건이었다.

즉 개인정보보호법에 따라 고객의 주민등록번호 등이 DB에 암호화돼 있어도 회사 전산망에 자유롭게 접근할 수 있는 직원과 협력사 직원들이 암호화가 해제된 데이터를 유출한 것이다.

이에 업계는 IT시스템 개발이 주로 인소싱이 아닌 아웃소싱 체계로 이뤄지다 보니 외주 인력에게 보안을 무시한 채 지나치게 많은 권한을 주는 것이 문제라는 지적이다.

특히 금융감독원은 지난해 7월 대형 금융사를 대상으로 최고정보보호책임자(CISO)와 최고정보책임자(CIO)의 겸임을 금지하는 등 금융보안 종합대책을 발표했다.

CISO가 조직 내 독립성과 권한을 통해 시스템 개발 외 보안 강화에 비중을 넓히고 이를 보안조직에만 머무는 것이 아니라 경영 전반의 관리 체계로 수립하기 위해서다.

그러나 아직 법적 의무화가 되지 않자 국민, 신한, 우리, 하나, 농협, 기업 등 6개 은행 가운데 국민과 신한, 기업은행만 CISO를 별도로 두고 있다. 이 중 일부는 CISO가 CIO와 동등한 직급의 임원이 아니라 CIO가 관할하는 부서에 소속된 경우도 있다.

또한, 기업의 IT센터는 방문 등록, IT기기 반입 금지, 금속탐지기 등 출입통제시스템을 갖췄지만, 출입한 후에는 특별한 제지를 가하기 힘들다.

예를 들어 가장 중요한 통제구역인 전산실의 외부 유지보수 직원도 출입을 허가받는 절차는 까다롭지만, 사실상 들어간 후에는 아무런 통제를 받지 않는다.

이에 업계 관계자는 “외주 직원들이 불법행위를 할 수 있는 보안 취약점이 산재한 것”이라며 “기술적 대책과 함께 기업의 정보보호에 대한 안일한 인식부터 제고돼야 허술한 관리체제가 변화될 것”이라고 설명했다.