최근 금융권에서 내부 직원이 권한을 악용해 데이터를 유출하는 사례가 늘어나면서, 내부통제 구조의 전면 재점검이 필요하다는 지적이 나온다. 기존 보안 체계 사각지대가 드러나고 있다는 평가다.
30일 금융업계에 따르면 금융사 내부 직원이 개인정보를 빼내는 사례가 최근 연이어 발생하고 있다. 최근 신한카드서 발생한 개인정보 유출 사고는 내부 직원이 업무 과정에서 접근 가능한 시스템을 통해 가맹점 대표자 이름과 연락처 등을 조회·탈취한 것으로 파악됐다. 신한카드에 앞서 우리카드 일부 영업센터에서도 2022년 7월부터 2024년 4월까지 가맹점 대표자 개인정보 약 7만5000건을 외부로 유출된 사고가 발생했다.
금융 보안업계 관계자는 “신한카드 사고 등은 시스템 해킹이나 외부 침입이 아닌 정상 권한을 통해 발생했다는 점에서 주목해야 한다”면서 “금융권은 그동안 외부 공격 대응을 중심으로 보안 투자를 이어왔지만 내부자 권한 악용이나 비정상 행위를 사전에 탐지·차단하는 데는 한계가 있었다”고 언급했다.
특히 디지털 전환이 가속화되면서 내부 시스템에서 한 명의 직원이 접근할 수 있는 데이터 범위와 규모가 확대된 점도 내부자 리스크를 키운 요인이라는 지적이 나온다. 이에 따라 업무 목적에 따른 최소 권한 부여, 접근 이력 상시 점검, 이상 행위 탐지 등 정교한 내부통제 체계 구축이 필요하다는 목소리가 커지고 있다.
생체인증 업체 유니온바이오메트릭스 관계자는 “금융권 디지털 전환 과정에서 업무 효율화와 내부통제 사이 균형이 무너진 것”이라면서 “출입 통제를 넘어 업무 시스템 접근, 중요 정보 조회, 승인·결재 등 고위험 내부 작업 전반에 대해 사용자 인증 기반 통합 보안 체계가 요구된다”고 분석했다.
업계는 이번 사고를 계기로 금융권 전반에서 내부 권한 관리와 접근 통제 체계에 대한 점검이 확대될 것으로 전망했다. 외부 해킹 대응을 넘어 내부자에 의한 정보 유출까지 포괄하는 통합적 내부통제 체계가 금융 신뢰를 유지하기 위한 핵심 과제로 부상한 것이다.
정부 방침도 금융사 내부통제 권한을 강화하는 쪽이다.
금융위 등에 따르면 금융당국은 제정을 추진 중인 디지털금융보안법을 통해 금융사 정보보호 최고책임자(CISO) 권한을 강화하는 방안을 검토 중이다. CISO 조직이 보안 점검에 필요한 정보를 다른 부서에서 제공받을 수 있도록 하는 조항을 법안에 포함하는 것이 골자다. 금융 보안 역량을 전사적 차원에서 관리하라는 취지다.
김시소 기자 siso@etnews.com
