아주경제 문지훈 기자 = 지난해 말 한국씨티은행과 한국스탠다드차타드(SC)은행에서 발생한 13만건의 고객정보유출에 이어 올 초 KB국민·농협·롯데카드에서 빠져나간 1억400만건의 고객정보유출 사건이 발생한 데는 해당 금융사의 부실한 인력관리 시스템이 한몫했다.
씨티은행의 경우 내부 직원이 은행 전산망에 저장된 대출 채무자들의 정보를 A4용지에 출력해 외부로 유출했으며 SC은행의 경우 외주업체 직원이 이동식저장장치(USB)에 고객정보를 담아 외부로 빼돌렸다. 카드 3사 고객정보유출 사건도 외주업체 직원의 소행으로 밝혀졌다.
이들 사건이 발생한 이후 금융당국을 중심으로 금융사의 보안시스템을 강화하는 대책들이 발표됐다. 대책은 보안에 대한 금융사의 관리와 책임을 강화하는 데 초점이 맞춰졌다.
그러나 금융권 내에는 시스템이 강화돼도 인력 통제의 어려움으로 사건·사고 등을 막기 힘들다는 공감대가 형성돼 있다.
금융권 관계자는 "2011년 현대캐피탈 해킹사건 등으로 금융권 보안 기술이나 시스템 등은 해외 선진국과 비교해도 잘 갖춰져 있는 수준"이라며 "개인 또는 일부가 작정하고 고객정보 유출 등을 시도할 경우 이를 사전에 감지하기도 어려운 데다 막기도 힘들다"고 토로했다.
결국 금융보안은 솔루션의 문제가 아니라 사람의 문제라는 것이다.
때문에 금융사 직원 뿐만 아니라 외주업체 직원의 모럴해저드를 막는 게 중요하지만 문제는 이들의 인식을 제고하기가 말처럼 쉽지 않다는 데 있다.
또 다른 관계자는 "새로운 해킹 수법이 등장하면서 정부와 금융사가 이를 방지하기 위한 시스템을 정비하는 만큼 또 다른 유출경로인 인력에 의한 유출만이라도 최소화할 수 있다면 피해를 대폭 줄일 수 있을 것"이라고 말했다.
이어 "최고경영자(CEO)들을 중심으로 보안 중요성 인식 제고에 힘쓰고 있지만 뾰족한 수가 없는 게 현실"이라라고 덧붙였다.
해킹 등 기술적인 수법의 고객정보 유출이 아닌 경우 대부분 사람의 문제인 데다 인식 제고가 힘든 만큼 내부 권한 제한 등 시스템적으로 묶는 수 밖에 없다는 지적도 나온다.
실제 카드 3사로부터 1억여건의 개인정보를 유출한 KCB 전 직원이 신한카드와 삼성카드에서는 개인정보를 빼돌리지 못했다.
KCB 전 직원은 지난 2월 국회 정무위원회 개인정보 유출 관련 국정조사 청문회에서 "(신한·삼성카드에서는) 물리적 보안이나 보안규정이 까다롭게 돼 있고 프로젝트 보안성 심의 때 왜 데이터가 필요한지 규명하게 돼 있었다"며 "(개인정보 유출) 시도를 할 생각이 없었다"고 말했다.
최근 연이은 개인정보 유출 사건으로 금융사 입장에서도 인력 통제를 위한 시스템을 강화하는 일이 시급한 과제가 됐다.
금융위원회도 구체적인 기술적 보안방안에 있어서는 자율권을 부여하지만, 유출사고 발생 시에는 금융사에 엄정히 책임을 묻기로 하고 금융사 정보보호최고책임자(CISO) 책임 하에 매월 보안점검을 실시해 최고경영자(CEO)에게 점검결과를 보고하고 금감원에도 제출토록 했다.
관계자는 "금융보안 기술도 중요하지만 인력관리 성패 여부가 고객정보 유출 사건·사고 재발을 막는 데 중요한 역할을 할 것"이라고 강조했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지