KB국민·롯데·NH농협 등 카드·은행 보안 태세 살펴보니
2011년 농협 전산망 마비와 현대캐피탈 해킹 사건, 지난해 농협·신한은행 등을 상대로 한 3·20 사이버테러 등 굵직한 사건이 터질 때마다 국내 금융사들은 보안 태세 점검과 강화를 외쳐 왔다. 그러나 금융사들은 지난 몇 년 동안 곳간 문 앞 울타리를 한 겹 더 쳤을 뿐 울타리에 작은 틈만 하나 생겨도 안에 든 재물을 속수무책으로 털리는 허점을 고스란히 드러냈다. 상당수 금융사가 개인 식별 정보 암호화 등의 근본적인 보안 강화 작업을 미뤄 왔기 때문이다. 실제로 이번 사태를 빚은 KB국민카드, 롯데카드, NH농협카드를 비롯한 카드사와 은행권의 개인 정보 암호화는 밑바닥 수준인 것으로 드러났다.금융사들은 개인정보보호법에 따라 2012년 12월까지 주민등록번호, 비밀번호 등의 고객 식별 정보가 유출, 분실되지 않도록 암호화하는 작업을 완료했어야 했지만 이를 이행한 곳은 거의 없다. 개인 정보 데이터베이스(DB)를 암호화하면 정보가 유출되더라도 식별이 불가능하다.
지난해 국정감사에서 김영주 민주당 의원이 금융감독원으로부터 받은 자료에 따르면 금융사 103곳 중 절반 이상인 60개 기관이 개인 정보를 암호화하지 않았다. 17개 시중은행 가운데 암호화를 완료한 은행은 전북은행 한 곳이었다. 정보 유출 사태를 빚은 카드 3사도 고객 식별 정보를 암호화하지 않은 상태로 보관하고 있었다. 다른 카드사들도 사정은 마찬가지다. 삼성카드와 하나SK카드, 비씨카드 등은 고객 개인 정보에 대한 암호화 작업을 해 둔 상태지만 일부 시스템에만 적용돼 있다. 카드사의 한 관계자는 “그동안은 내부적으로 예산 제약이나 타당성 검토 등의 여러 가지 이유로 고객 DB 전면 암호화를 시작하지 못했는데 최근 여러 기술보안 업체에 상담을 의뢰해 둔 상황”이라고 말했다.
금융사의 정보 보호 예산은 연초에 계획한 예산을 모두 집행하지 않아 ‘대외 과시용’이라는 지적도 나온다. 롯데카드는 2012년 정보 보호 예산액이 85억원이었으나 집행액은 47억원으로, 계획 대비 45%나 덜 투자했다. 국민카드는 예산액을 2012년 113억원에서 지난해 76억원으로 33%가량 줄였다. 2012년 실제로 집행된 정보 보호 예산은 48억원에 그쳤다. 계획한 예산의 42%만 투자한 셈이다. NH농협은행을 포함한 NH농협카드의 2012년 정보 보호 예산액은 무려 1104억원(집행액 971억원)을 기록했지만 지난해는 406억원으로 뚝 떨어졌다. 2011년 농협 전산 사고 여파로 이듬해 예산을 크게 늘렸다가 세간의 관심이 멀어지자 다시 투자금을 줄였다.4대 은행의 정보 보호 예산과 집행액도 상당한 격차를 보였다. KB국민은행은 2012년 정보 보호에 341억원을 투자할 계획이었지만 실제로 투자한 금액은 221억원이었다. 신한은행은 175억원에서 155억원, 우리은행은 186억원에서 175억원, 하나은행은 238억원에서 100억원으로 계획 대비 투자액을 줄였다. 금융당국 관계자는 “정보 보호 예산을 투자로 생각지 않고 지출로만 생각해서 이런 격차가 생긴 것으로 보인다”고 지적했다.
물리적 보안장치는 갖춰져 있지만 이를 운용하는 인력 관리가 허술한 점도 한 원인이다. 2011년 농협 전산망 마비 사태 이후 한국인터넷진흥원(KISA)은 ‘정보기술(IT) 외주 인력 보안 통제 안내서’를 만들었지만 현장에서 규제 효과를 보지 못하고 있다는 지적이 나온다. 오희국 정보보호학회장(한양대 컴퓨터공학과 교수)은 “이동식 저장장치(USB)로 정보를 빼내 가는 등 초보적인 수준의 보안 구멍이 난 것은 제도가 허술하다기보다 이를 지키지 않는 인력의 문제”라고 말했다. 이미 앞서 대규모 개인 정보 유출 사건을 겪은 일부 금융사는 직원이 고객 정보를 조회하거나 출력할 때 관리자에게 실시간으로 통보되고 일주일에 한번 불필요한 고객 개인 정보를 동시에 파기하는 등의 시스템을 마련했지만 물 샐 틈 없는 보안을 보장하기는 어려운 상황이다. 한 카드사 관계자는 “고객 관련 정보를 조회하거나 출력할 때 일일이 관리자의 결재를 받아야 하는 등의 시스템을 두고 있지만 예상치 못한 직원의 ‘일탈’까지 사전에 통제하기는 어렵다”고 말했다.
신종 금융 사기 수법에 취약한 금융권의 보안도 불안 요소다. 최근 신한은행과 농협은행에서 발생한 신종 ‘메모리 피싱’ 수법은 기존의 피싱 범죄가 고객의 계좌 비밀번호와 공인인증서, 보안카드 등의 정보를 빼돌려 돈을 빼 간 것과 달리 금융 정보 유출 없이 이체 정보를 바꿔 돈을 빼돌린 것이다.
윤샘이나 기자 sam@seoul.co.kr
김경두 기자 golders@seoul.co.kr
2014-01-25 5면
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지