“고객정보는 마케팅이나 업무에 필요해서 단순히 보관하는 자료가 아니다. 이제 고객정보는 고객의 재산 이상으로 소중하게 보호해야 할 귀중한 자산임을 명심해야 한다.”
권선주 IBK기업은행장이 취임 후 첫 개최한 전국영업점장회의에서 참석자에게 강조한 말이다. 권 행장이 앞으로 펼칠 혁신 과정에 고객정보 보호는 중요한 키워드로 자리 잡고 있다.
최근 기업은행은 불합리한 업무관행 개선 등 금융소비자 보호 확립을 위한 ‘클린 IBK 10대 운동’을 펼치기로 결정했다. 10가지 실천과제 안에 개인정보보호법 준수를 포함시켰다. 그만큼 사력을 다해 집중하겠다는 의미다.
기업은행은 2012년 5월 IT본부와는 별도로 수석부행장 직속기관인 정보보호센터를 설립했다. 센터는 정보보호운영팀과 정보보호기획팀으로 구성된다. 올해 초 인사에서 IT본부장이 겸임하던 정보보호센터장 직책을 분리하고 별도로 정보보호최고책임자(CISO)를 선임했다. 첫 CISO는 IT 개발 분야 오랜 경험을 갖고 있는 박선 IT금융개발부장이 맡았다. 최고정보책임자(CIO)와 분리해 권한과 책임을 강화한 것이다.
고객 개인정보 유출방지를 위해서는 다양한 규정을 수립, 적용 중이다.
우선 국내외 지점별로 ‘개인정보보호 담당자’를 지정해 고객정보를 철저히 관리하고 일선에서 규정을 지키는 지를 감독한다.
고객정보를 비롯해 모든 업무용 자료를 PC에 저장할 때는 암호화된 파일로 저장한다. USB, 노트북PC, 인터넷 파일 첨부, 출력물 등을 통해 고객정보가 유출되지 않도록 사전 통제절차도 만들었다.
시스템 개발 시 외부 직원이 활용하는 고객정보는 임의 변환해 제공하고, 테스트 종료 후에는 고객정보를 삭제하도록 했다. 개인정보를 취급하는 업무시스템에는 사전등록한 사용자 및 PC에 한해 접속 권한을 부여하는 등으로 외부 반출을 차단하고 있다.
정보보호 인식 제고에도 많은 신경을 쓴다. 전 임직원이 연간 6시간 이상 정보보호 교육을 의무적으로 이수해야 하고 고객정보 수탁업체, 대출모집인, 카드모집인 등 외부 직원에도 보안규정을 이행하고 있는지 주기적으로 점검한다.
기업은행은 타 금융사보다 망 분리 시스템을 앞서 구축했다. 외부 보안위협을 원천 제거하기 위해 인터넷 망과 내부 망을 물리적으로 분리했다. 2012년 12월에 서버관리자 물리적 망 분리를 완료했고, 지난 2월에는 본부 물리적 망 분리를 끝냈다. 올 하반기까지 모든 영업점의 물리적 망 분리도 완료해 침해사고 발생 시 내부 시스템 안정성을 확보할 계획이다.
기업은행은 망 분리를 조기 완료해 지능형지속공격(APT)으로 인한 시스템 파괴나 PC 및 ATM 중단, 정보유출을 막는 근본 방어체계를 마련할 방침이다. 또 외부 파일 유입경로를 최소화하고 유입된 파일에 악성코드를 점검해 차단하는 데도 많은 노력을 기울이고 있다.
기업은행은 이례적으로 IT전문 변호사를 채용했다. 금융권 IT사고 증가와 감독기관의 검사·제재 수준이 강화되는데 따른 것으로 IT법률 전문인력을 두고 선제 대응하겠다는 취지다. 또 개인정보보호법과 전자금융거래법 등 IT와 정보보호 관련 법, 규제에도 적극 대응할 계획이다. 아울러 금융 IT사고에 대한 임직원의 법적 의무와 책임을 강화하는 방안도 마련 중이다.
길재식기자 osolgil@etnews.com
