하나SK카드(대표 이강태)가 고객정보보호 강화를 위해 초강수를 둔다. 공인전자문서보관소(공전소)를 활용, 고객정보가 없는 처리계(고객 거래를 처리하는 핵심 시스템)를 구축한다. 내부 직원과 해킹에 의한 고객정보 유출을 원천 차단하기 위해서다.
22일 업계에 따르면 하나SK카드는 금융감독원과 ‘고객정보 없는 처리계’ 시스템 구축 논의를 마치고 보안성 심의 및 법률 해석을 앞두고 있다. 시스템 컨셉트 마련에는 이강태 사장이 직접 참여했다. 그는 처리계엔 굳이 고객정보를 가지고 있을 필요가 없다는 뜻을 강력히 천명한 것으로 알려졌다.
시스템이 구축되면 하나SK카드의 처리계 고객정보는 모두 공전소에 보관된다. 직원들은 고객 관리 키를 입력하고 필요한 고객정보를 불러와 업무를 처리한다. 업무가 끝남과 동시에 사용된 고객 정보는 소멸된다. 서비스형 데이터베이스(DaaS)의 일종인 셈이다.
하나SK카드는 현재에도 보안 사고에 대비해 고객정보 이미지를 공전소에 보관하고 있다. 하지만 앞으로는 입력되는 실제 고객 데이터가 직접 공전소에 보관된다. 공전소 사업자로는 하나INS가 유력시된다.
내부에 고객정보를 보관하지 않음으로 인해 얻는 혜택은 다양하다. 가장 큰 이점은 당연히 내부 직원과 해킹에 의한 고객정보 유출 사고를 원천봉쇄할 수 있다는 점이다. 또 고객정보 암호화에 따른 라이선스 비용과 시스템 부하를 줄일 수 있다. 이렇게 절감되는 비용은 공전소 사용료와 상쇄될 수 있다.
한 공전소 관계자는 “공전소는 안정성과 신뢰성을 목표로 하는 시스템이기 때문에 보안을 위한 제반 인프라가 견고히 구축돼 있다”며 “공전소 보관 고객정보가 불법으로 악용되면 최대 20억원을 배상받을 수 있는 보험 등 안전장치가 다양하다”고 말했다. 그는 의료업계의 경우 내부 정보의 안전한 보관을 위해 공전소를 검토하는 곳이 늘고 있다고 덧붙였다.
하나SK카드가 보안성 심사를 통과해 시스템을 구축하면 카드업계는 물론이고 금융권에서도 고객정보를 내부에 보관하지 않는 최초의 사례가 될 전망이다. 하나SK카드는 보안성 심사를 통과한 후 5~6개월에 걸쳐 시스템을 구축할 계획이다. 하나하나 프로그램을 수정하며 단계별로 진행한다는 방침이다.
앞서 하나SK카드는 지난 9월 발생한 직원에 의한 고객정보유출 사고 이후 정보계(고객 거래를 기록·분석하는 시스템) 고객 정보보호를 대폭 강화했다. 직원이 직접 고객정보에 접속하는 대신 프로그램을 통해 필요한 고객정보를 확인할 있도록 했다. 직원 개입을 최소화한 것이다.
안호천기자 hcan@etnews.com
