현대카드에는 4대 ‘무관용 정책(ZTP: Zero Tolerance Policy)’이란게 있다. △협력업체와의 거래 투명성 △성희롱 △담합금지 △고객정보 보안이다. 고객정보 보안정책을 위반한 임직원은 재고나 선처의 여지 없이 최고 수위의 처벌을 받게 된다. 이를 통해 보안에 대한 임직원들의 경각심도 높이고 있다.
현대카드는 정보보안 조직을 별도 실 단위 조직으로 격상해 2개 정보보안부서, 2개 보안통제부서, 1개 IT정보보안팀 등 총 5개 팀으로 확대 운영 중이다. 카드사 중 막강한 보안 통제를 실시하고, 정보 유출을 원천 차단하고 있다. 각 조직 별 기능 중첩을 통해 이중확인(Double Check)체제를 마련하고 법규 위반위험을 제거함으로써 정보유출로 인한 보안리스크 발생위험을 크게 낮추고 있다는 평가다.
내부 조직의 보안 강화를 기치로 보안 수준을 대폭 상향했다. 2011년부터 전직원 대상으로 업무시스템 로그인 시 OTP 추가 인증을 통해 접근통제가 이뤄지고 있고, CMOS 패스워드, 계정별 패스워드, OTP 패스워드 입력 등 3중 안전장치가 가동된다.
내부 정보 유출 방지를 위해 사용자 PC 파일을 모두 암호화 저장한다. 지난해에는 국내 최초로 개인정보 격리시스템을 구축, 개인정보가 포함된 파일 생성 시 서버로부터 전면 격리하는 기술을 도입했다. 그룹웨어 이메일을 통해 외부로 메일을 발송하는 경우, 관리자 앞 승인메일이 전송되고, 관리자 승인 후 메일 발송돼 보안통제를 강화했다.
개인별 보안등급 부여제도 실시하고 있다. 고객정보 취급 정도에 따라 4단계 보안등급을 부여하고, 등급에 맞게 OTP 지급 및 그에 따른 보안체계를 적용한다.
문서에도 자물쇠를 잠갔다. 지난 2월부터 개인정보가 포함된 문서 출력 시 개인정보 마스킹 정책에 의거 일부가 기호로 가려져 출력된다. 복합기 사용 시 사원증을 통한 내부 임직원 인증을 거친 후에만 출력이 가능하다. 출력한 문서에는 출력자와 출력시각 등이 워터마크로 명기된다.
문서파기 원칙은 업무 종료 후 바로 세단기를 통해 파기하고 보존 년한이 있는 문서나, 별도 보관이 필요한 경우는 문서고에 보관했다가 기간이 끝나면 즉각 폐기하고 있다. 전사 문서폐기 시행은 분기별 1회, 보존 년한으로 인한 문서 폐기는 연 1회 실시하고 있다. 또 문서폐기 차량을 직접 도입해 문서폐기 시 발생할 수 있는 문서유출사고에 대비하는 시스템을 갖췄다.
하드디스크 등 모든 IT 자산은 데이터가 재활용되지 못하도록 담당자 입회 하에 회사가 직접 천공·파쇄 및 용광로 소각을 하고 있다.
협력사에 대한 보안 대책도 대폭 강화했다. 2003년부터 외부 PC반입을 전면 금지했다. 개발직원 PC의 인터넷 접근도 차단하고 PC 본체 분리 방지를 위해 보안씰(seal) 통제 인프라를 구축했다.
현대카드는 정기적으로 직원 대상의 교육과 사내보안 캠페인을 실시하고 있다. 임직원 보안의식 제고를 위해 연 1회 외주직원을 포함한 전체 직원 대상 정보보안 대면교육을 정기적으로 실시하고 있다. 회사의 보안정책을 ‘생활보안가이드’로 정리해 전 직원 앞 책자를 배포하고, 모든 PC 바탕화면에 설치해 업무수행 중 이를 참고하도록 권고하고 있다. 또 매월 첫째 주 목요일을 보안의 날로 지정해 불필요한 문서·파일을 폐기하고, 부서자체보안점검, 테마교육 등의 행사를 시행 중이다.
길재식기자 osolgil@etnews.com
