정부가 현대캐피탈 해킹사태를 계기로 금융사의 고객정보 데이터베이스(DB) 암호화 기준을 대폭 상향하기로 했다.
금융사들이 DB 암호화를 했지만 외산 데이터베이스관리솔루션(DBMS)의 무료 모듈을 적용한 초보적인 수준이어서 해킹 시 무방비로 당할 수 있다는 전자신문 지적에 따른 조치다. 본지 4월 12일자 1면 참조
12일 관계기관에 따르면 금융감독원은 개인정보보호법 주무부처인 행정안전부, 보안업계 등과 협의해 금융사의 DB 암호화 적용 기준을 상향 조정하는 방안을 추진하기로 했다.
금감원 관계자는 “지금까지 DB 암호화에 대한 강제조항이 있었던 것은 아니다. 다만 비밀번호는 너무 중요해 전자금융거래법을 통해 의무화했다”며 “DB 암호화 여부의 문제성을 인식하고 있다”고 밝혀 기준 상향 의사를 내비쳤다.
행안부도 이와 관련, 오는 9월 발효될 개인정보보호법 시행령과 세부지침에 DB암호화 기준을 세부적으로 만들기로 했다.
김상광 행안부 개인정보보호과 법제팀장은 “그동안 DB 암호화에 대한 규정이 전자금융거래법, 정보통신망법 등 다양한 법에 명시됐으나 세분화돼 규정되지 않은데다 공통된 지침이 없어 금융권의 혼란이 가중된 측면도 있다”며 “이번 기회에 관계당국과 협의해 DB 암호화 범위와 깊이 등을 일목요연하게 정리할 계획”이라고 말했다.
이에 따라 감독 당국의 DB 암호화 범위와 기준이 쟁점으로 떠오를 전망이다.
현재 금융사가 가진 모든 정보(키값)를 암호화했을 경우 처리 속도가 크게 느려지는 문제가 나타날 수 있기 때문이다. 일부 데이터만을 중요 정보로 암호화해야지 그렇지 않을 경우 고객 이용 편의성이 크게 떨어진다는 설명이다. 모 시중은행 보안 담당자는 “현재는 비밀번호만을 암호화하고 있는데 과연 주요 정보를 어디까지 볼 것인지가 관건”이라며 “자칫 암호화 수준이 너무 높을 경우 병목현상이 발생해 속도가 크게 느려질 수 있다”고 토로했다. 이 관계자는 “한 바이트가 늘어날수록 속도는 느려진다. 하루 10명 고객이 이용하는 곳과 수만명이 이용하는 곳은 확연히 차이가 나타난다”면서 범위에 신중을 기해야 한다고 강조했다.
선물거래 등에서 0.1~0.2초 빠른 것이 회사 경쟁력으로 평가되는 증권사에서는 DB 암호화가 더 민감하다. 모 증권사 IT기획부장은 “공정성만 지켜진다면 속도가 느려진다 해도 모든 데이터의 암호화를 받아들일 수 있다”며 “일부 회사가 제대로 적용하지 않을 경우 형평성에 문제가 될 수 있다”고 명확한 기준 설정과 함께 철저한 감독 필요성을 역설했다.
현재 금감원 측은 민간업체와의 협의를 통해 범위 등을 정할 계획인 가운데 금융업종에 따라 적용 범위와 기준을 달리하는 방향을 유력하게 보고 있다. 금감원 관계자는 “금융권별로 보안성·효율성·실효성 등을 모두 따져봐야 한다. 또 금융회사 입장뿐만 아니라 소비자의 의견도 감안해 결정해야 한다”고 설명했다.
김준배·장윤정기자 joon@etnews.co.kr
