국민일보

지난해 1월 20일. 고객정보를 유출한 카드 3사 수장이 한자리에 모였다. 공동 긴급기자회견에서 심재오 KB국민카드 사장, 박상훈 롯데카드 사장, 손경익 NH농협카드 분사장은 국민 앞에 고개 숙여 사과하며 재발 방지를 약속했다. 분노는 가라앉지 않았다. 따가운 여론 속에 세 사람은 약속이나 한 듯 연달아 사퇴했다. 세 카드사는 3개월 영업정지 처분을 받았다. 신규 영업을 하지 못하는 피해보다 금융의 기본인 '신뢰'를 잃은 피해가 막심했다.

전 금융권은 혹여 불똥이 튈까 앞다퉈 '고객 신뢰 회복'을 외쳤다. 정부의 '금융분야 개인정보 유출 재발방지 종합대책' '개인정보보호 정상화 대책' 등에 따라 소홀했던 정보보호 체계를 점검했다. 정보 수집단계에서부터 관리, 폐기까지 전 단계에 걸쳐 보안 기술을 강화하고, 임직원의 보안 의식을 다졌다.

◇꼭 필요한 정보만 요구=금융사는 그동안 편의성과 마케팅을 이유로 고객들로부터 과다한 정보를 수집해 왔다. 고객들은 이를 당연하게 받아들였다. 일부는 찝찝해 하면서도 거래를 하기 위해 어쩔 수 없는 일이라 여기며 요구에 응했다. 하지만 이제 '주민번호'는 제공하지 않는 것이 원칙이 됐다. 외환은행은 지난해 말 은행거래신청서 서식을 개선해 주민등록번호 기재를 생년월일로 대체했다. 카드사들도 신규 발급 시 주민번호를 적을 필요가 없도록 방식을 바꿨다.

포괄적으로 수집되던 정보도 필수사항과 선택사항으로 구분됐다. 6∼10개 정도의 필수항목과 선택사항으로 나눴고, 고객이 선택사항에 동의하지 않아도 서비스 제공을 거부하지 못하게 했다. 마케팅 등을 이유로 제삼자 정보제공의 경우 포괄적 동의를 금지하고 정보제공의 대상, 목적별로 그룹화해 동의를 받도록 바뀌었다. 소비자 선택권을 강화한 것이다.

◇보안 전담조직 설립=이번 사고는 보안에 들어가는 돈을 비용이 아닌 '투자'로 인식하게 하는 계기가 됐다. 각 사들은 보안과 고객보호를 위한 전담조직을 설립하고, CIO(최고정보책임자)와 CISO(정보보호최고책임자)를 분리했다.

KB국민카드는 정보보호본부 인력을 배로 보강했다. 조직 개편을 통해 고객정보보호와 보안 기능을 수행할 전담팀도 만들었다. 롯데카드 역시 IT보안뿐 아니라 개인정보보호에 대한 기획·감사·보안통제관리 등 정보보호 전반에 대한 업무를 수행할 수 있는 정보보호부문을 신설했다. NH농협은행 내 본부인 NH농협카드는 은행 차원의 보안책 외에 카드 내에 정보보안 등을 담당하는 소비자보호팀을 신설했다. 신한·우리은행 등 시중은행 역시 비슷한 조직을 구성해 운영 중이다.

CIO와 CISO는 겸직이 금지됨에 따라 금융권엔 CISO 영입도 줄을 이었다. 삼성카드는 금융정보 보호 분야 전문가인 성재모 상무를, SC은행은 김홍선 전 안랩 대표이사를 전무급이 아닌 부행장급으로 격상해 영입했다. 카드 3사 정보유출 발표 전 씨티은행과 함께 고객정보 유출 사고가 있었던 만큼 정보보안을 강화하겠다는 의지로 보인다. CIO는 정보를 활용해 사업전략을 구상하고, CISO는 정보 보안을 책임지는 역할을 하기 때문에 금융사의 정보보호 책임이 한층 강화될 전망이다.

◇기술 강화와 함께 임직원 인식 전환도=이번 사고는 아이러니하게도 보안 강화를 위한 FDS(부정사용방지 시스템) 고도화 과정에서 일어났다. 작업을 맡은 외주업체 직원이 정보를 빼돌리면서 사달이 났다. 카드사들은 외주 직원이 작업 시 정보를 가지고 나갈 수 없도록 물리적 방어책을 만들었다. KB국민카드는 지문인증 시스템을 도입하고, 클라우드 서비스를 이용하고 저장장치 없이 모니터만 존재하는 '제로PC'를 개발해 보안을 강화했다. 롯데카드 역시 외부 개발자의 PC 반입을 막고 제공된 컴퓨터를 이용하고 전용 공간에서 근무하도록 했다. 그 외에 FDS 강화, 해외 온라인 안전결제 서비스(가상의 카드번호와 유효기간으로 결제) 도입 등 다양한 보안 방식을 활용하고 있다.

내부 직원들의 인식 제고를 위해 정보보호 서약식을 열고, 정보보안 교육도 강조하고 있다. 사내에서 USB 등 저장매체를 원칙적으로 사용하지 못하도록 하고, 외부로 이메일 보내는 것도 담당자의 승인을 받도록 해 물리적인 정보유출 차단책도 마련했다.

금융권 관계자는 "보안 강화로 불편한 점이 많지만 이를 통해 아예 '정보 유출이 불가능하다'는 식의 생각 변하를 가져올 수 있지 않을까 생각한다"고 말했다.

◇이제 시작이다=구슬이 서 말이라도 꿰어야 보배다. 정보 유출 이후 각종 대책이 쏟아졌으나 중요한 것은 실천과 유지다. 하지만 정보 유출 시 금융사에 피해액 3배 이상의 징벌적 손해배상을 하는 것을 골자로 하는 신용정보보호법은 국회에 잠들어 있다. 금융 당국이 보안성이 뛰어난 IC카드 단말기 도입을 위해 카드업계로부터 1000억원의 기금을 마련했으나 세금 폭탄 때문에 가맹점에 보급되지 못해 활용되지 못하고 있는 실정이다.

카드업계 관계자는 "정보 유출이 어떤 측면에선 카드업계에 '약'이 됐다"며 "금융사에 신뢰가 가장 중요한 만큼 보안 대책 실천을 통해 소비자 신뢰를 회복하는 게 가장 중요한 것 같다"고 강조했다.

박은애 기자 limitless@kmib.co.kr

▶ 관련기사 보기◀

▶ [신용카드 정보 유출 1년] (중) 금융사 어떻게 달라졌나… 보안 강화 실태

▶[신용카드 정보 유출 1년] "소멸시효 3년만 버티자"… 피해 배상 콧방귀

▶ [신용카드 정보 유출 1년] (상) 소 잃고 외양간 못 고치는 금융당국

▶[신용카드 정보 유출 1년] 아직도 불안한 고객들… 피싱·스미싱 등 금융사고에 노출 '스트레스'

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 재배포금지

[뉴스 미란다 원칙] 취재원과 독자에게는 국민일보에 자유로이 접근할 권리와 반론·정정·추후 보도를 청구할 권리가 있습니다. 고충처리인(gochung@kmib.co.kr)/전화:02-781-9711