현대카드-캐피탈, 새벽5시 직원 PC-책상 ‘서든체크’

2011년 해킹사고 겪은 현대캐피탈 환골탈태

문서폐기 차량 자체 운영 21일 서울 영등포구 여의도동 현대카드·캐피탈 본사 앞에서 회사가 자체 운영하는 문서폐기 특수차량이 문서 파기 작업을 하고 있다. 박영대 기자 sannae@donga.com

설 연휴를 앞둔 지난달 28일 새벽 5시 서울 여의도의 현대카드·캐피탈 본사. 이 회사 정보보안실 직원 30명이 빈 사무실에 들이닥쳤다. 이들은 전 층을 돌며 직원들의 PC와 책상을 살펴보기 시작했다. PC를 켜서 암호잠금장치가 설정돼 있지 않거나 책상 서랍이 열려 있으면 ‘보안위반’이라는 빨간딱지를 붙였다. 책상 위에 서류나 서랍 열쇠, PC 일회용 비밀번호(OTP) 생성기가 아무렇게나 놓여 있어도 어김없이 빨간딱지가 붙었다.

이 회사는 지난해 3월부터 이처럼 정보보안 사항 준수 여부를 불시에 점검하는 ‘서든체크’를 실시하고 있다. 빨간딱지가 붙은 직원은 주말에 출근해 보안교육을 받아야 하고 3차례 적발되면 인사위원회에 회부된다. 결과는 인사고과에 반영된다.

2011년 해킹으로 고객정보 유출의 홍역을 치른 현대카드·캐피탈의 현주소다. 이 회사는 매달 최고경영자(CEO)인 정태영 사장이 직접 보안회의를 주재하고 정보보안에만 연간 300억 원을 투자하고 있다.

○ 기술보다 확실한 생활 속 보안

이 회사 직원들이 출근해 PC를 켜면 가장 먼저 모니터엔 정보보안 캠페인 공지사항이 뜬다. 이후 보안 관련 퀴즈를 풀어야만 PC가 작동된다. 시스템에 접속하려면 하드웨어 비밀번호, 개인 비밀번호, OTP 등 비밀번호를 3차례나 입력해야 한다. 회사는 고객정보를 얼마나 다루냐에 따라 2000여 명의 직원의 보안등급을 4개로 나누고 등급에 맞는 OTP 생성기를 지급하고 있다. 엘리베이터나 화장실 곳곳에는 정보보안 체크리스트가 붙어 있다. PC 화면보호기도 정보보안을 주제로 한 애니메이션으로 만들었다.

민감한 개인정보가 흘러나갈 빈틈도 꼼꼼히 챙기고 있다. 문서를 인쇄하면 주민번호, 전화번호 등 개인정보의 일부는 ‘××××’의 식으로 가려진 채 출력된다. 직원이 복사기, 인쇄기, 팩스를 사용한 기록은 매주 부서장에 통보된다. 회사 e메일로 외부에 메일을 보낼 때도 부서장의 승인을 받아야 한다.

요즘 유행하는 지능형지속해킹(APT) 공격을 막기 위해 ‘미스터리쇼핑(암행감사)’ 식의 서든체크도 수시로 이뤄진다. 정보보안실이 ‘특가세일’이라는 제목의 가짜 광고 e메일을 보냈을 때 열어본 직원이나 ‘인사 데이터’라는 스티커가 붙은 USB 메모리에 속아 사용이 금지된 USB를 PC에 꽂으면 빨간딱지가 날아든다.

○ 협력업체 정보보안도 우리 몫

2011년 사고 직후 정보보호최고책임자(CISO)로 영입된 안랩 출신의 전성학 정보보안실 이사는 “기술로 모든 위험을 막을 수 없다”면서 “직원들이 생활 속에서, 무의식적으로도 지킬 수 있도록 정보보안을 기업문화로 만드는 데 주력했다”고 말했다.

최근 외주업체를 통해 고객정보가 유출되는 사고가 잦아지면서 현대카드·캐피탈은 개인정보를 다루는 모든 협력업체(110곳)에 정보보안 솔루션을 제공하고 직원교육까지 해주고 있다. 매달 협력업체를 방문해 가이드라인대로 보안 시스템이나 내부통제가 작동되고 있는지 점검하고 보안점수도 매긴다. 기준 미달인 회사가 3개월 내에 보안을 개선하지 않으면 재계약을 하지 않는다. 전 이사는 “협력업체들이 처음엔 불편해했지만 본사 직원을 파견하고 비용까지 대주니 불만이 사라졌다”며 “정보보안 수준이 높아진 일부 회사는 다른 금융사와의 거래가 늘었다”고 말했다.

정임수 기자 imsoo@donga.com