최근 현대캐피탈 해킹 사건, 농협 전산망 중단 사고 등으로 금융권 보안 체계를 재점검해야한다는 목소리가 높아지고 있다.
잇따른 금융권 보안사고의 원인은 무엇일까. 관련 전문가들은 타 분야에 비해 높은 기종, 다양한 장비를 구비하고 있지만 성능, 편이성을 우선한 보안불감증이 금융 보안 사고를 불렀다는 지적이다.
금융권에 보안 제품을 납품해온 관계자들은 “성능을 우선으로 한 IT시스템 구성으로 DB암호화, 접근제어, 로그기록 관리 시스템 등을 도입했더라도 사용하지 않는 경우가 태반”이라며 “인터넷뱅킹, HTS 시스템 등 반드시 필요한 분야에만 최고 기종, 고사양 시스템을 도입하는 편의주의가 부른 예견된 사고”라고 지적한다.
이성헌 한나라당 의원실 조사 자료에 따르면 16개 시중은행의 IT 투자규모는 총 1조7970억원이었으며 이 중 보안 예산은 607억원, 3.4%에 불과했다. 이에 금융감독원은 보안 투자 실적을 경영평가에 반영토록 할 계획이며 상반기 중 전체 금융권의 보안 점검에 나설 계획이다. 은행, 증권, 카드, 보험 등 전 금융권은 기존 보안 시스템을 점검하고 노후화된 설비를 교체하는 한편 부족한 시스템 구매에 나서는 등 대책마련에 부산하다.
현재 금융권은 △해킹 방지 시스템이 제대로 작동하고 있는지 △공개 서버 관리가 제대로 작동하고 있는지 △웹 취약성 관리 △DB서버 암호화 △로그 관리 △개인정보보호의 관리 및 감독 강화 등 물리적, 관리적 보안에 총체적인 재점검 및 대책 마련을 세우고 있는 것으로 알려졌다.
특히 고객의 돈을 다루고 있는만큼 전산시스템의 보안 취약성은 엄청난 피해로 이어질 수 있다는 지적이다. 또 실명거래상 주민등록번호를 반드시 다뤄야한다는 업종 특성상 다수의 개인정보를 보유하고 있기 때문에 개인정보보호에 각별한 주의가 필요하다.
그간 금융권은 정보통신망법이나 신용정보보호법에 따라 그에 준하는 보안조치를 취한다는 금융위원회의 애매한 규정에 따라 개인정보보호법의 사각지대에 놓여있었다. 하지만 오는 9월부터 본격 발효될 개인정보보호법이 시행되면 개인정보보호를 위한 각종 솔루션 도입 및 관리 조치를 보다 강화해야 한다.
임종인 고려대 정보보호대학원 교수는 “자산을 믿고 맡긴다는 금융기관 특성상 한번 보안 사고가 발생하면 회복하기 어렵다”며 “CEO의 보안 의식 강화로 보안은 비용소모적인 부분이 아니라 고객신뢰를 증진시키기 위해 반드시 수반해야 할 제 1순위의 투자여야할 것”이라고 주장했다.
◇ 금융권 개인정보보호를 위한 체크리스트
1. 고객 개인정보를 보호하기 위해 마련해야하는 내부 규정·지침 등 내부 관리 계획을 수립했는가.
2. 최소한의 정보만을 수집하고 수집 목적과 사용 범위를 사용자에게 알리고 동의를 받았는가.
3. 원래의 개인정보 수집·이용 목적이 변경되거나 추가된 경우 별도의 동의를 받았는가.
4. 개인정보 업무를 외주업체에 위탁할때 고지하고 동의를 획득했는가.
5. 개인정보 취급자를 최소한자로 제한하고 권한을 통제했는가.
6. 침입차단 시스템·침입탐지시스템 등 물리적인 접근통제 장치들을 설치했는가.
7. 내부자에 의한 개인정보 유출 방지를 위해 접속기록의 보존 및 위조·변조 방지를 위해 접속기록을 관리했는가.
8. 개인정보 전송 및 저장 시에는 암호화 등 보호조치를 적용했는가.
9. 조직 내 법률 부서에서 집단 분쟁 조정 및 단체소송 등 정보주체의 권리행사에 대응할 수 있는 대응체계를 구축했는가.
10. 개인정보보호 관련 각종 인증을 획득하고 개인정보보호 감독활동을 강화했는가.
장윤정기자 linda@etnews.co.kr
관련 통계자료 다운로드 보안 체크리스트