금융권이 금융거래 이용자 정보 데이터베이스(DB) 암호화를 놓고 깊은 고민에 빠졌다. 금융거래 이용자가 많은 은행과 대형 카드사는 DB 암호화 추진 일정조차 확정짓지 못해 난감한 상황이다. 무엇보다 방대한 양의 DB를 암호화해야 한다는 두려움을 해소하는 게 관건이다.
25일 금융권에 따르면 은행과 대형 카드사 등 상당수 금융회사는 DB 암호화 적용 방안을 놓고 여전히 고심 중인 것으로 나타났다. 단, 데이터 규모가 작은 증권회사는 대부분 차세대 프로젝트를 진행하면서 DB 암호화를 적용했다.
문제는 은행과 대형 카드사다. 은행과 대형 카드사 중 절반 정도만이 DB 암호화를 진행했다. DB 암호화를 진행한 은행과 대형 카드사도 핵심 시스템인 기간계 시스템이 아닌 인터넷뱅킹 시스템 등 일부 시스템에만 적용했다.
DB 암호화를 못하는 이유는 방대한 DB에 대한 암호화가 어떤 업무에 얼마만큼 영향을 미칠지 알지 못하기 때문이다. 보안 업계 관계자는 “금융회사가 DB 암호화를 했을 때 영향이 어떻게 미칠지 정확하게 파악해야 한다”며 “파악을 못하기 때문에 구축기간, 용량, 예산에 막연한 두려움을 갖게 되는 것”이라고 말했다.
금융회사는 DB 암호화를 위해 개인정보보호법, 전자금융감독규정, 신용정보의이용및보호에관한법률 등에서 명시한 개인식별 정보를 모두 찾아내 적용해야 한다. 어느 시스템에 어떤 고객정보가 들어있는지 파악해야 하는데 정확히 파악하고 있는 금융회사가 드물다. 차세대 프로젝트로 시스템 설계도를 마련했지만 이후 시스템이 추가돼 한계가 있다. 시스템 설계도를 해석할 수 있는 IT인력이 부족한 것도 문제다.
프로젝트 진행 방식도 고민이다. 차세대 프로젝트처럼 빅뱅 방식으로 DB 암호화를 진행하자니 비용부담이 크다. 빅뱅 방식을 적용하려면 기존 시스템과 똑같은 시스템을 새로 구축해야 하는데 수백억원의 예산이 필요하다. 더군다나 상당수 은행과 카드사는 차세대 프로젝트를 진행했기 때문에 현실적으로 빅뱅 방식 적용은 어렵다.
보안 업계는 업무 단위별로 적용하는 단계적 방식을 제시한다. 3~4개의 업무 시스템을 한 단계로 묶어 DB 암호화 프로젝트를 진행하는 방식이다. 단계적 방식도 데이터가 잘 정리돼 있지 않으면 진행이 쉽지 않다. 대형 카드사 최고정보책임자(CIO)는 “단계적으로 DB 암호화를 진행하게 되면 해당 DB가 미치는 다른 시스템을 일일이 찾아서 연결해야 하는데 이 역시 복잡한 과정이 될 것”이라고 우려했다.
구축기간도 고민거리다. 금융권 DB 암호화 시점은 지났지만 일정 기간을 유예해 준 상태다. 내년 말까지는 모든 금융회사가 DB 암호화를 적용해야 한다. 남은 기간이 너무 짧다. 빅뱅 방식을 진행하면 1년 정도, 단계적 방식을 적용하면 1년 반 이상이 걸린다.
아직 DB암호화를 진행하지 못한 은행과 대형 카드사는 최근 관련 조직 구성에 나섰다. 전자금융감독규정과 신용정보보호법에 따라 전자거래와 계좌번호도 암호화해야 하기 때문에 구축 기간은 더욱 촉박하다.
보안 전문가는 “해야 될 거라면 지금 DB 암호화를 시작해야 한다”며 “DB 암호화에 따른 업무와 프로세스, 시스템 영향을 분석하는 것이 선행돼야 한다”고 제시했다. 용량 증설은 어느 정도 필요하겠지만 큰 이슈는 아니라는 입장이다. 또 다른 보안 전문가는 “DB 암호화는 건설현장에서 안전모를 쓰는 것처럼 당연하게 받아들여져야 할 정보보호 문화를 만드는 것”이라고 강조했다.
신혜권기자 hkshin@etnews.com
