신한카드의 이번 개인정보 유출 사고로 금융권의 보안 불감증이 여실히 드러나고 있다. 이미 우리카드가 올해 상반기 가맹점주의 개인정보를 무단 사용해 100억원이 넘는 과징금을 받았음에도 같은 사례가 되풀이됐다. 일부 직원의 개인 일탈로 치부하기에는 금융권 전반의 보안 위기 의식이 부족하다는 평가가 적지 않다.
23일 신한카드에 따르면 이번 개인정보 유출 과정에서 3주간 내부 데이터베이스(DB)를 통해 최종 유출 정보와 경로를 확인하는 절차를 거쳤다. 신한카드는 지난달 12일 개인정보보호위원회로부터 개인정보 유출에 대한 소명 요청이 온 뒤 즉각 해당 조치에 나섰다고 밝혔다. 가맹점주 정보를 유출한 직원은 사내 프로그램에서 사진 촬영이나 수기 작성 등을 통해 정보를 유출해 신규 영업에 활용했다는게 신한카드 측의 설명이다.
지난 3월 개보위로부터 134억원의 과징금을 맞은 우리카드와 유사한 사례다. 우리카드는 당시 가맹점주의 개인정보 동의 없이 마케팅에 활용해 과징금과 시정명령을 받았다. 우리카드 역시 지난 2022년 7월부터 지난해 4월까지 3년 가까운 기간 동안 가맹점 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만1862명의 이름과 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다.
앞서 롯데카드 해킹 사고 안팎으로 대통령은 물론 금융당국까지 나서 보안·전산사고에 엄정하게 대응하겠다고 밝힌지 석달도 채 지나지 않아 내부 직원에 의해 동일한 사고가 재차 발생했다. 이번에도 내부통제 시스템을 우회하는 방식으로 유출이 발생했다.
인터넷진흥원(KISA)에서 인증하는 ISMS-P(정보보호 및 개인정보보호 관리체계)에도 내부통제와 관련한 명확한 조항이 있지만 유명무실했다. 신한카드는 지난해 ISMS-P를 취득했다.
다만 금융권의 보안 불감증은 쉽사리 개선될 여지가 보이지 않는다는 것이 업계 안팎의 시각이다. 이재명 대통령 조차 “인공지능과 디지털 시대 핵심 자산인 개인정보 보호를 소홀하게 여기는 잘못된 관행, 인식 역시 이번 기회에 완전히 바꿔야 한다”고 강조했을 정도다.
강민국 국민의힘 의원이 금융감독원으로부터 받은 '국내 카드사별 정보기술예산 및 정보보호 예산 현황'에 따르면 2020년~2025년까지 6년간 전체 예산에서 국내 8개 카드사에 책정된 정보기술 예산이 10%가 채 안되는 것으로 집계된다.
정보보안 전문가들은 내부자 관리가 무엇보다 가장 중요한 과제라고 입을 모은다. 홍준호 성신여대 융합보안공학과 교수는 “최근 개인정보 유출 사고는 가장 기본적인 내부자 관리 미흡으로 발생한 만큼, 고객 정보 보호를 위해 더욱 엄격한 내부 통제와 관리적 보안 강화가 필요하다”고 강조했다. 김진수 한국정보보호산업협회(KISIA) 수석부회장도 “외부 침입에 대비하듯이 내부 정보 취급자를 대상으로 한 관리 체계에도 주의를 기울여야 한다”고 말했다.
류근일 기자 ryuryu@etnews.com, 조재학 기자 2jh@etnews.com
