지난 12월 11일, 창원지검 특수부는 한국스탠다드차타드(SC)은행과 한국씨티은행 대출관련 고객 정보 13만7천여 건이 유출됐다고 밝혔다. 또 은행 고객 정보를 유출한 은행원과 이를 수수한 불법사금융자 등 12명을 적발하고 이중 5명을 구속했다고 전했다.

한편 유출 방법은 이렇다. 한국씨티은행은 컴퓨터 파일 자체를 복사, 저장할 수 없도록 설정하는 방식으로 고객정보 유출을 방지해 왔지만 ㄱ씨는 A4용지로 출력, 인쇄하는 간단한 방법으로 고객정보를 유출했다.

한국스탠다드차타드 은행은 보안프로그램을 설치해 정보접근을 제한하는 방법으로 고객정보 유출방지 대책을 마련했지만 전산프로그램 개발 업무를 담당하던 ㄴ씨는 간단한 조작으로 보안프로그램을 해제한 후 고객정보 파일을 USB에 저장해 5차례에 걸쳐 유출한 것이다.
 
또한 창원지검 홍기채 부장검사는 “이들로부터 압수한 USB에는 두 은행들 외에도 X저축은행, Y캐피탈, Z카드회사 등 다수의 금융기관에서 유출된 것으로 보이는 고객정보 약 300만건이 추가로 발견됐다”며 “수사 결과, 다수의 대출모집인들과 대부중개업자들은 각자 보유하는 고객정보를 수수·공유하며 전화나 문자 발송 등을 통해 대출영업에 나서고 있는 것으로 확인됐다. 또한 위 대출모집인 등에게 접근해 여러 금융회사 고객정보의 매수를 제의하는 전문 ‘개인정보 유통 브로커’도 존재하는 것으로 확인됐다”고 덧붙였다.
 
◇안행부, 검찰조사 끝나는대로 조사착수=안전행정부 개인정보보호과 관계자는 “검찰이 명확한 유출 경위와 유출된 고객정보를 은행측에 넘겨주면 해당 은행들은 안행부에 유출신고를 해야 한다. 현재 사전 신고를 두 은행이 한 상태”라며 “신고 즉시 은행들은 유출된 정보주체들에게 이메일 등으로 고지를 해야 하며 7일 이상 홈페이지에 유출 사실에 대한 정보를 게시해야 한다”고 설명했다.
 
현재 안행부는 검찰 조사 중에 행정부가 관여할 수 없기 때문에 검찰 조사가 완료되면 안행부와 금감원이 협의해 조사단을 파견해 보다 자세한 조사를 실시하겠다는 방침이다.
 
◇금융권 구조조정후 보안홀 발생...의미있는 보안투자였나=한편 이경호 고려대 정보보호대학원 교수는 현재 은행들의 보안 프로세스가 제대로 작동하지 않는다고 지적했다. 이 교수는 “이번 사건으로 금융권은 실제 보안 시스템들은 구축돼 있지만 운영이 정상적으로 되고 있는지, 시스템이 목적에 맞게 효율적으로 돌아가고 있는지 다시 한번 점검하는 계기가 되어야 한다”며 “또한 보안만 연결되면 모두 CISO에 일임하고 있는 상황이다. 조직 전반에 걸쳐 보안관련 역할을 나누고 책임을 부여해 원활하게 돌아갈 수 있는 보안 프로세스를 안착시키는 것이 이루어져야 한다”고 강조했다.
 
즉 현재 금융권 특히 은행들은 보안 프로세스가 정상적으로 운영될 수 있도록 조직 직무분석부터 다시 해야 한다는 비판이다. 전 구성원이 금융 보안에 대한 본인의 책임과 의무를 다시 한번 정립해야 한다는 것이다. CISO에게만 모두 일임하고 나 몰라라하는 분위기가 현재 은행들의 분위기다.
 
이 교수는 또 “올해 금융권 전반에 급속한 조직 변화가 있었다. 조직이 변화되면서 경영효율적 측면만 생각했을 뿐 그 과정에서 발생할 수 있는 리스크 요인 발굴에 실패한 것”이라며 “구조조정을 했으면 과거에 없었던 리스크가 당연히 발생한다. 이 과정에서 내부통제의 고리가 끊어져 이런 사고가 발생하고 있는 것”이란 지적도 했다.
 
즉 금융권 내부 미드필더들, 중간관리자들의 구조조정 과정에서 내부통제의 홀이 생긴 것이고 이를 관리할 인력들이 적절히 배치가 안된 결과라고 볼 수 있다.
 
한편 금융권은 정부가 제시하고 있는 정보보호 관련 규정을 물리적으로만 지킬려고 하고 있어 문제다. 예산의 7%를 사용하는데 있어 실제로 의미있는 정보보호 투자가 이루어졌는지 따져봐야 한다. 7% 안에 IDC 구축 비용같은 것들이 포함돼 있다는 것이다.
 
이 교수는 “투자의 초점이 침해사고와 외부 공격, 내부자 통제에 맞춰졌어야 한다. 특히 이미 알려진 공격에만 초점을 맞춰 투자하는 것은 현재 공격자들의 공격 성향을 간과하고 있는 것이며 특히 중요한 내부자 통제에 대한 투자가 미약했다는 것이다. 내부통제와 새로운 이슈에 대응하기 위해 제대로 투자가 이루어지고 있는지, 진정 유의미한 예산 투자가 이루어지고 있는지, 실효적인 관리와 대응이 가능한지 은행들은 따져봐야 한다”고 강조했다.
 
◇금융권, 권위의식 버리고 개인정보보호에 적극 동참해야=또 다른 보안전문가는 그동안 제1금융권들의 권위의식이 이런 사고를 발생시키는데 큰 역할을 했다고 보고 있다.
 
그는 “그 동안 카드, 생명, 보험사 등에서 내부자 정보유출 사건들이 발생해 왔다. 그때마다 은행들은 우리는 비정규직도 상대적으로 적고 내부자들이 그런 사고를 일으키는 일은 없을 것이라고만 자신하다 이번 사건이 터진 것”이라며 “현재 개인정보보호와 관련해서도 보험사들이 가장 적극적으로 움직이고 있지 은행들은 상대적으로 느슨한 움직임을 보이고 있었다. 은행들은 자신들이 안전할 것이라고 생각했지만 아니었다는 것이 이번 사건이 보여준 것”이라고 지적했다.
 
특히 보안업체들은 대부분 금융기관의 고압적이고 권위주의에 혀를 내두르고 있는 실정이다. 금융기관의 유연하고 적극적인 움직임이 필요한 시점이 온 것이다.
 
또한 외국계 은행들은 글로벌 스텐다드만 따지면서 국내 보안전문가들의 조언을 들으려 하지 않았던 부분도 있다. 이번 기회에 금융권 특히 은행들은 정보보호에 대한 의식이 다시 한번 바뀌어야 할 것으로 보인다.
 
한편 이번에 사고가 발생한 한국씨티은행은 모 글로벌 보안업체 DLP를 사용하고 있었으며 한국스탠다드차타드 은행은 국내 모 업체 DLP를 사용하고 있었다. DLP의 중요한 기능인 출력물 통제와 저장매체 제어기능이 제대로 작동했는지도 따져봐야 한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com