[핀테크시대 정보보안]<1>‘1억건 정보 유출’ 1년… 달라진 금융권 가보니
5일 오후 서울 영등포구 의사당대로 현대카드 본사 로비. 대규모 신용카드 개인정보 유출 사태 1년이 지나 금융회사의 보안 시스템이 얼마나 달라졌는지 알아보기 위해 현대카드를 찾았다. 일부러 입구에서는 기자라는 사실을 밝히지 않았다. 보안요원이 가로막아 섰다. 내부 직원이 사전에 외부인 방문을 등록해야만 출입할 수 있다고 했다. 등록을 마친 뒤에는 소지품 검사가 꼼꼼하게 진행됐다. 휴대전화를 비롯한 전자기기를 모두 꺼내야 했다. 스마트폰에 내장된 카메라 렌즈에는 촬영 방지용 스티커가 붙었다. 노트북PC는 지하 1층 IT보안 부서에서 포맷을 한 뒤에야 갖고 들어갈 수 있다는 보안요원의 말이 있었다. 악성코드가 심어져 있을 수 있기 때문이다. 깜짝 놀라 노트북PC는 아예 사무실 밖에 두고 가기로 했다.
이런 절차를 거친 끝에 겨우 사무실에 들어갈 수 있었다. 하지만 할 수 있는 건 아무것도 없었다. 직원들의 PC로 접속을 시도하자 비밀번호를 입력하라는 창이 떴다. 직원마다 지급된 일회용 비밀번호(OTP·One Time Password) 생성기로 비밀번호를 받아 입력해야 한다. PC의 지시에 따라 현대카드 직원이 각기 다른 OTP 비밀번호를 3차례 입력하자 겨우 부팅이 됐다. PC에 이동식저장장치(USB)를 꽂아봤지만 인식이 되질 않았다. 외부 USB 사용을 아예 막아놨기 때문이다.
지난해 1월 카드사 정보유출 사고 이후 카드, 은행, 보험사 등 금융회사들은 개인정보 보호 강화에 비상이 걸렸다. 고객 정보가 외부로 유출되는 것을 막기 위해 외부인의 출입이 엄격히 통제됐다. 롯데카드 건물 출입구에는 금속탐지기와 X선 검색기가 설치됐다. 몰래 노트북PC나 전자기기를 갖고 들어가 고객 정보를 담아 빼돌리는 것을 차단하기 위해서다. 한 카드사 직원은 “정보유출 사고 전만 해도 외부 잡상인이 사무실에 들어와 헬스클럽 광고 전단이며 요구르트 배달 광고지를 뿌리는 일이 다반사였다”며 “지금은 아예 외부인의 무단출입 자체가 불가능하다”고 말했다.
▼ “금융거래 편의성만 따지면 낭패… 더 촘촘한 보안 필요” ▼
PC 보안도 강화됐다. 삼성카드는 업무용 문서 작성과 인터넷 접속을 완전히 나눈 ‘망 분리 시스템’을 운영하고 있다. 업무용 문서 작성을 위해 PC에 로그인했다가 인터넷 접속을 하려면 로그아웃 후 다시 로그인을 해야 한다. 업무용 문서를 인터넷에 옮기지 못하도록 한 것이다. 고객정보는 더욱 조심해서 다룬다. 고객정보가 포함된 문서는 부서장의 확인과 결재를 거치지 않으면 출력조차 안 된다. 외부로 문서를 보낼 때도 마찬가지. 현대해상은 관리자와 정보보호부, 준법감시부 등 3단계를 거쳐야 외부에 고객정보를 반출할 수 있다.
아예 고객정보 수집을 최소화해 유출을 원천 봉쇄하기도 한다. 카드사들은 신규 회원가입 시 신청서에서 주민등록번호 기입란을 삭제했다. KB국민은행은 고객에게 주민등록번호 대신 은행 전산망에서 사용할 수 있는 KB핀(KB-PIN)을 발급해 인터넷, 모바일뿐만 아니라 점포에서 거래할 때도 주민등록번호를 입력하지 않도록 하고 있다.
최근 국내에 열풍처럼 확산되고 있는 핀테크 활성화도 개인정보 보호가 뒷받침되지 않으면 ‘공염불’에 그칠 수 있다는 지적이 나온다. 금융 거래의 편리성만 강조해 정보보호가 소홀하게 다뤄져서는 안 된다는 것이다. 김인석 고려대 정보보호대학원 교수는 “정보유출 사고 이후 반짝 각종 대책을 쏟아냈지만 최근 핀테크 열풍이 불며 정보보안을 등한시하는 경향이 있다”고 지적했다. 김 교수는 “IT 전문인력과 전담조직을 효율적으로 운용하고, 상시적인 보안 시스템을 만들어 지속적으로 관리해야 한다”고 강조했다.
신민기 기자 minki@donga.com