금융회사 고객정보 관리가 위험수위를 넘었다.
해킹과 내부자 유출에 따른 대형 사고가 잇따르고 있는데도, 감독당국은 일손 부족을 탓하며 방관하고 있다. 사고가 터질 때 마다 고객정보 관리·취급 규준을 만들어 내놓지만 그때 뿐 전혀 근절되지 않고 있다.
6일 경찰은 삼성카드로부터 고발된 삼성카드 내부 영업직원의 고객정보 고의 유출 혐의에 대해 수사를 확대하고 나섰다. 공범 존재 여부와 이 고객정보가 제3자에 이미 흘러들어 갔는지에 수사의 초점을 맞추고 있다.
신용카드업계는 지난 4월 현대캐피탈 개인정보 유출사건이 터진 후 내부 보안상태를 대대적으로 점검하고 시스템을 업그레이드하는 등 사후 대응에 나섰으나 결국, 이 같은 사건이 또 터지면서 당혹감을 감추지 못하고 있다. 개인정보 유출 이외에도 내부 관리 소홀이나 불법적인 조회 행태는 전 금융권으로 확산되고 있다.
최근 신한캐피탈은 자체 신용정보조회시스템(CSS)을 만든 뒤 점검하는 과정에서 직원이 당사자 동의 없이 신용정보를 조회하다 금융감독원에 덜미가 잡혔다. 지난 7월에는 SC제일은행 직원 10명이 가족, 친척, 친구 등의 개인신용정보를 466차례에 걸쳐 무단 조회한 사실을 금감원이 적발해 은행 측에 징계를 요구하기도 했다. 외환은행도 최근 수년간 직원들이 개인신용정보를 1173회나 무단 조회한 사실이 당국에 적발돼 물의를 빚었다.
전문가들은 금융회사들이 개인정보 보안을 해킹 등 외부 시스템 침입에 의한 공격에만 초점을 맞춰 대응하고 있는 것에 문제가 있다고 지적한다. 내부 정보 접근 권한에 대한 철저한 관리와 접근 기록을 통한 정보 접근 최소화 등의 조치가 필요하다는 것이다.
한 카드사 보안 담당자는 “CIO(최고정보화책임자)와 별도로 두도록 돼있는 CSO(최고정보보호책임자)는 해킹 등 시스템 침입을 통한 시스템 안전과 방어에만 신경을 쓴다”며 “내부 사람에 의한 정보 유출은 사실상 방치하고 있는 것이나 마찬가지”라고 말했다.
감독당국의 고객정보 유출에 대한 징계 수준도 높여야 한다는 지적이다.
해킹이나 내부자 유출이 사전에 인지할 수 없는 사고라 할지라도 고객정보 유출시 발생 자체에 대한 응분의 책임은 지도록 해야 한다는 목소리가 높아지고 있다.
박창규기자 kyu@etnews.com
