[Money&Life/현장에서]금융권 보안불감증 언제까지

하정민 기자

은행, 카드, 캐피털 등 업종을 불문한 금융회사들의 개인정보 유출 사고가 잇따라 발생하고 있다. 하지만 금융회사들의 대책 마련 수준은 매우 미흡한 편이다. 문제가 발생하면 이를 단순히 해결하려는 대증(對症) 요법에만 급급할 뿐 사고를 제대로 예방하려는 투자와 노력이 부족하다는 뜻이다.

삼성카드 직원의 정보 유출 사고가 발생한 6일 한 카드회사 관계자를 만났다. 사고를 막기 위해 어떤 대책을 마련하고 있느냐고 묻자 “직원이 마음만 먹으면 어떻게든 고객 정보를 빼낼 수 있는 게 사실”이라며 “내부 직원을 상대로 보안 및 윤리 교육을 강화하는 것 외에는 별다른 대책이 없다”고 말했다. 그는 한 술 더 떠 “하지만 최근 유출된 정보는 대부분 전화번호와 연락처 등 신상정보 수준이어서 크게 우려하지 않아도 된다”고 덧붙였다. 고객의 개인정보를 이용해 막대한 돈을 버는 금융회사 관계자들의 보안 인식이 겨우 이 정도라니 한숨이 절로 나왔다.

전자금융이 날로 발달하면서 각 금융회사에 축적된 막대한 고객정보를 빼내려는 시도는 점점 늘어나고 있다. 하지만 각 회사가 내놓는 대책은 기껏해야 고객 파일을 암호화하거나 직원들이 고객 정보를 조회할 때 기록을 남겨놓는 정도에 불과하다. 많은 정보기술(IT) 전문가들은 암호화된 고객 파일을 푸는 게 그다지 어렵지 않으며 고객정보 조회와 관련된 기록을 매일 매일 철저하게 점검하지 않으면 검열 시스템이 별다른 쓸모가 없다고 지적하고 있다.

국내 기업은 정보보호 관련 투자에도 매우 인색하다. 김병완 삼성경제연구소 박사는 “많은 기업이 수익이 나지 않는다는 이유로 보안 관련 투자를 소홀히 하는 경향이 있다”고 지적했다. 실제 올해 초 한국인터넷진흥원(KISA)이 실시한 기업 정보보호 실태조사에 따르면 금융·보험업계 회사 중 절반이 정보보호에 전혀 투자하지 않는 것으로 나타났다. 글로벌 선진 기업이 대부분 보유하고 있는 보안담당 임원(CSO·Chief Security Officer)을 둔 기업도 거의 없다.

더 큰 문제는 보안 문제에 관한 금융회사 경영진의 안이한 인식이다. ‘도둑을 반드시 소탕하겠다’는 마음가짐으로 접근해도 도둑을 잡을까 말까 한데 ‘도둑 없는 세상이 어디 있느냐’는 식으로 사태를 바라보니 도둑을 잡을 리 만무하다.

삼성카드 사태 여파가 가라앉지도 않은 19일 하나SK카드의 직원이 고객 정보를 유출하는 사고가 또 발생했다. 가뜩이나 보안 불감증에 시달리는 한국 금융업계가 언제쯤 이 문제를 발본색원할 수 있을까.

하정민 기자 dew@donga.com