[카드사 정보유출 대란] IT 선진국의 후진적 정보보안 현실 왜?

금융사 보안 불감증+경비절감 위한 외주 급증 ‘쌍끌이’

지난해 12월 19일 미국의 소매유통업체 2위인 ‘타깃(Target)’이 네트워크 해킹을 당해 4000만건 이상의 카드 정보가 누출됐다는 소식이 알려졌다. 타깃이 자체적으로 11월 27일과 12월 15일에 정보 누출 사고가 있었음을 확인해 관계 당국에 통보한 것이었다. 이후 타깃은 피해 규모가 더 커져 7000만건에 육박한다는 사실도 추가로 밝혔다.

전 국민의 분노를 사고 있는 국내 금융권의 고객정보 유출 사고의 전개 과정과는 사뭇 다르다. 사상 최대 규모의 정보 유출 사고가 발생한 KB국민·롯데·농협카드의 경우 실제 정보 유출이 이뤄진 시점은 2012년으로까지 거슬러 올라간다. 지난 8일 검찰이 유출자를 기소할 때까지 1년이 넘도록 금융 당국은 물론 금융사 어느 곳도 사고 발생 사실을 알아채지 못했다. 정보기술(IT) 선진국이라는 한국의 후진적 정보보안 현실이 여실히 드러난 셈이다.

금융감독원 관계자는 21일 “국내 금융사들의 정보유출 사고는 정보에 직접 접근할 수 있는 내부자에 의한 것이 많아지고 있다”면서 “그러다보니 네트워크에 부정 접근하는 외부 해킹 등의 경우보다 바로 파악하기가 어려워진 것 같다”고 말했다.

실제 이번 3개 카드사의 정보유출 사건은 물론 지난해 말 알려진 한국 씨티은행·SC은행 사건과 메리츠화재 정보유출 사건 등은 모두 내부 정보에 직접 접근할 수 있는 직원이나 외주직원에 의해 일어난 일이었다. 또 모두 검찰 수사 또는 금융감독원 검사에 의해 확인됐다. 그나마 금융사 자체적으로 사고를 확인한 경우는 2011년 내부 직원이 네트워크를 해킹했던 삼성카드 정도다. 외부 해킹을 당해 정보가 유출됐던 한화손해보험은 2011년 사고 발생을 알았음에도 내부적으로 은폐하면서 2년이 지나서야 밝혀지기도 했다.

이 같은 현상의 가장 큰 원인으로 정보를 직접 다루는 금융사 자체의 보안 의식과 허술한 인력 관리가 지목된다. 금융위원회 관계자는 “최근 일어난 사건들을 보면 한 개인의 부도덕성 등에서 비롯된 것이 많다”면서 “과거에는 해킹에 의한 정보 유출이 많아 이런 것들에 대한 보안은 상대적으로 많이 강화됐는데 이런 경우는 근본적으로 어떻게 막을지 고민이 깊다”고 토로했다.

금융회사들이 높은 보안 비용을 줄이고자 관련 업무를 외주로 돌리는 것도 문제다. 상대적으로 책임이 작은 이들이 고객 정보를 직접 다룰 수 있게 돼 있고, 이를 치밀하게 관리하지 않는 것 자체가 ‘보안불감증’의 대표적 사례라는 것이다. 신제윤 금융위원장도 20일 “보안 전문가가 부족하다 보니 비용이 비싸고 외주를 주는 게 문제”라고 지적한 바 있다.

처벌 수준이 외국에 비해 지나치게 약한 점에 대한 비판도 높다. 고객 정보가 유출된 금융사 중 현재까지 이뤄진 최대 제재는 과태료 600만원과 기관경고뿐이다. 반면 미국의 타깃이 지난해 12월 발생한 정보유출 사고로 내야 하는 벌금만 30억 달러가 넘을 것이라는 전망이 나오는 등 크게 대비된다.

애초에 내부 직원들이 정보유출 유혹에 빠지는 이유가 ‘고객 정보 거래’가 가능하다는 점에서 유통시장 자체를 막아야 한다는 지적도 나온다. 금융사들이 고객 유치 경쟁 때문에 대출모집인 등이 불법 유출된 개인 정보를 이용해 영업하는 것을 알면서도 눈 감는 게 현실이다. 금융 당국 관계자는 “이 같은 유통시장이 있는 한 시한폭탄을 안고 있는 것이나 다름없다”면서 “근본적인 대책이 필요하다”고 말했다.

조민영 기자 mymin@kmib.co.kr