“정보보안은 금융뿐 아니라 어떤 업종의 기업이든 필수적인 요소입니다. 비용이 아닌 투자의 관점에서 접근해야 합니다.”(배진호 KB금융지주 정보보호부장)
“고객과 직원 모두가 정보보안에 대한 의식을 공유하지 않으면 아무리 좋은 시스템이라도 보안이 완성될 수 없습니다.”(유시완 하나금융그룹 정보전략본부장)
1억 건이 넘는 대규모 개인정보 유출 사건이 발생한 지 1년이 됐다. 금융회사들에는 처절한 반성의 시간이었다. 25일 개최된 ‘동아 인포섹 2015―정보보호 콘퍼런스’에서 주요 금융회사 정보보호 책임자들은 그동안 정보보호 시스템을 강화하기 위해 어떤 노력을 펼쳤고 앞으로 어떤 계획을 갖고 있는지 상세히 소개했다.
○ 인력 및 예산 늘리고 보안시스템 마련
정보 유출 사태 이후 정부의 지나친 규제가 오히려 정보보호 불감증을 키웠다는 지적이 나오면서 정부는 금융회사가 자율적으로 보안을 강화하도록 했다. 자율성은 높이되 정보 유출 사고가 발생하는 경우 그만큼 책임도 엄중히 묻겠다는 것이다. 이에 따라 금융사들은 정보보안 전담 조직을 마련하고 인력 확충에 나서는 등 스스로 재발 방지 대책을 마련했다.
주제발표에 나선 김인석 고려대 정보보호대학원 교수는 “지난해 금융회사들이 정보보안 관련 전담 인력을 2배로 늘리고 최고정보보호책임자(CISO)를 새로 임명하는 등 노력을 기울이고 있다”고 전했다. 김 교수에 따르면 금융지주회사를 비롯해 은행, 카드, 보험사의 67.3%가 신규로 CISO를 선임했다.
정보보안 개선사례 발표에 나선 배진호 부장은 “KB금융은 지난해 정보보호부를 신설하고 은행과 카드사에 별도의 정보보호 점검팀을 구성했다”며 “보안 관련 인력도 2013년 60명에서 지난해 113명으로 크게 늘렸다”고 밝혔다.
NH농협금융도 보안 관련 인력을 늘리고 보안 시스템을 강화했다. 남승우 NH농협은행 정보보안본부장은 “지난해 정보 유출 사고를 통해 사람이 기본적으로 편의성을 추구하기 때문에 아무리 대비해도 언제든 사고가 발생할 수 있다는 교훈을 얻었다”며 “정보보안의 빈틈을 없애기 위해서는 선진적인 시스템 마련이 필요하다는 결론을 내렸다”고 말했다. NH농협금융은 지난해 정보보안본부를 신설한 데 이어 개인정보 관리를 위한 매뉴얼을 만드는 등 정보보안 기반을 다지는 데 주력했다. 올해에도 업무 망과 인터넷 망을 분리하고 고객정보를 암호화하는 사업 등을 지속적으로 추진할 계획이다.
금융권의 정보보안 관련 예산도 늘었다. 김 교수에 따르면 올해 들어 금융회사들이 정보기술(IT) 관련 투자를 대폭 늘리고 있다. 저금리 저마진으로 은행들이 저마다 허리띠를 졸라매고 있는 상황을 감안하면 큰 변화다. 특히 망 분리, 개인정보 암호화 등에 대한 투자가 늘었다.
○ 정보 샐 틈 없게 이중 삼중 보안
지난해 개인정보 유출 사고가 외부 협력업체 직원을 통해 발생한 만큼 금융회사들은 전산기기 등을 통해 정보가 외부로 유출될 수 있는 경로를 차단하는 데 노력을 기울였다. KB국민카드의 경우 IT개발실에 외부 인력이 방문하는 경우 방문자 정보 입력부터 1·2차 출입문, X선 검색대 및 금속탐지기 등 총 5차례 검색대를 거쳐야 한다. 사무실 내에서는 스마트폰의 카메라 기능이 자동으로 꺼지게 돼 내부 문서를 찍어 유출할 수 없도록 했다. 직원들의 PC 본체도 없앴다. 저장장치가 없고 모니터로만 구성된 ‘제로PC’ 시스템이다. 본체는 전산센터 내 안전한 서버에 모아 클라우드 PC 방식으로 운영한다.
개인정보 유출 사고를 겪지 않은 하나금융그룹은 타산지석(他山之石)의 교훈을 얻었다. 유시완 본부장은 “개인정보가 포함된 e메일을 보내거나 문서를 출력할 때는 반드시 별도의 승인을 거치도록 하는 등 직원들 입장에서는 다소 불편할 수도 있지만 정보보안을 강화하기 위해 내부 PC와 네트워크를 엄격히 통제하고 있다”고 밝혔다.
금융회사의 정보보안에 대한 인식도 바뀌었다. 남승우 본부장은 “지난해 사고 전까지는 경영진이나 IT 전담 부서 정도만 정보보안에 신경 써 왔지만 사고 후에는 전사적으로 정보보안의 중요성을 인식하고 내부 통제를 강화하고 있다”고 말했다. 금융회사들은 내부 직원을 대상으로 수시로 정보보안 교육을 하는가 하면 불필요한 개인정보를 쌓아놓지 않도록 ‘개인정보 대청소 캠페인’ 등을 벌이고 있다.
댓글 0