電子機器搬入 막고 PC接續땐 ‘3重 자물쇠’

東亞日報
入力 2015年 2月 9日 03時 00分

코멘트: 個

좋아요: 個

코멘트: 個

[핀테크時代情報保安] <1>‘1億件情報流出’ 1年… 달라진 金融圈 가보니

“무슨 일로 오셨습니까. 用務가 없는 外部人은 出入할 수 없습니다.”

5日午後 서울 永登浦區議事堂臺로 現代카드 本社 로비. 大規模信用카드 個人情報流出事態 1年이 지나 金融會社의 保安 시스템이 얼마나 달라졌는지 알아보기 위해 현대카드를 찾았다. 일부러 入口에서는 記者라는 事實을 밝히지 않았다. 保安要員이 가로막아 섰다. 內部職員이 事前에 外部人房門을 登錄해야만 出入할 수 있다고 했다. 登錄을 마친 뒤에는 所持品檢査가 꼼꼼하게 進行됐다. 携帶電話를 비롯한 電子機器를 모두 꺼내야 했다. 스마트폰에 內藏된 카메라 렌즈에는 撮影防止用 스티커가 붙었다. 노트북PC는 地下 1層 IT保安部署에서 포맷을 한 뒤에야 갖고 들어갈 수 있다는 保安要員의 말이 있었다. 惡性코드가 심어져 있을 수 있기 때문이다. 깜짝 놀라 노트북PC는 아예 事務室 밖에 두고 가기로 했다.

이런 節次를 거친 끝에 겨우 事務室에 들어갈 수 있었다. 하지만 할 수 있는 건 아무것도 없었다. 職員들의 PC로 接續을 試圖하자 祕密番號를 入力하라는 窓이 떴다. 職員마다 支給된 一回用祕密番號(OTP·One Time Password) 生成期로 秘密番號를 받아 入力해야 한다. PC의 指示에 따라 現代카드 職員이 各其 다른 OTP 祕密番號를 3次例入力하자 겨우 부팅이 됐다. PC에 移動式貯藏裝置(USB)를 꽂아봤지만 認識이 되질 않았다. 外部 USB 使用을 아예 幕亞놨기 때문이다.

이番에는 內部文書를 뽑아보기로 했다. 接近이 許容된 部署가 아니어서 顧客個人情報는 아예 열어볼 수 없었다. 報告書를 한 건 出力했더니 報告書에 담긴 電話番號, e메일, 住民登錄番號等個人情報들이 모두 ×表示로 출력됐다. 출력된 종이마다 出力者의 이름이 標示됐다. 깔끔하게 整頓된 事務室冊床 위에는 종이 한 張 찾아보기 어려웠다. 情報流出을 막기 위해 종이 出力을 最少化하는 ‘제로 A4’ 캠페인을 벌이고 있었기 때문이다. 冊床 위에 文書를 올려두거나, 서랍을 잠그지 않은 境遇에는 情報保安室의 不時點檢에 걸려 빨간 딱紙를 받기도 한다.

지난해 1月 카드社情報流出事故以後 카드, 銀行, 保險社等金融會社들은 個人情報保護强化에 非常이 걸렸다. 顧客情報가 外部로 流出되는 것을 막기 爲해 外部人의 出入이 嚴格히 統制됐다. 롯데카드 建物出入口에는 金屬探知機와 X線檢索機가 設置됐다. 몰래 노트북PC나 電子機器를 갖고 들어가 顧客情報를 담아 빼돌리는 것을 遮斷하기 위해서다. 한 카드社職員은 “情報流出事故前만 해도 外部雜商人이 事務室에 들어와 헬스클럽 廣告傳單이며 요구르트 配達廣告紙를 뿌리는 일이 茶飯事였다”며 “只今은 아예 外部人의 無斷出入自體가 不可能하다”고 말했다.

▼ “金融去來便宜性만 따지면 狼狽… 더 촘촘한 保安必要” ▼

PC 保安도 强化됐다. 三星카드는 業務用文書作成과 인터넷 接續을 完全히 나눈 ‘망 分離 시스템’을 運營하고 있다. 業務用文書作成을 위해 PC에 로그인했다가 인터넷 接續을 하려면 로그아웃 後 다시 로그인을 해야 한다. 業務用文書를 인터넷에 옮기지 못하도록 한 것이다. 顧客情報는 더욱 操心해서 다룬다. 顧客情報가 包含된 文書는 部署長의 確認과 決裁를 거치지 않으면 出力조차 안 된다. 外部로 文書를 보낼 때도 마찬가지. 현대해상은 管理者와 情報保護部, 遵法監視部等 3段階를 거쳐야 外部에 顧客情報를 搬出할 수 있다.

아예 顧客情報蒐集을 最少化해 流出을 源泉封鎖하기도 한다. 카드社들은 新規會員加入時申請書에서 住民登錄番號記入欄을 削除했다. KB국민은행은 顧客에게 住民登錄番號代身銀行電算網에서 使用할 수 있는 KB핀(KB-PIN)을 發給해 인터넷, 모바일뿐만 아니라 店鋪에서 去來할 때도 住民登錄番號를 入力하지 않도록 하고 있다.

金融會社들이 이처럼 情報保安强化에 對한 投資를 늘리고 있지만 如前히 빈틈은 남았다. 한 金融會社의 情報保安擔當任員은 “保安은 사슬과 같아서, 弱한 고리는 恒常 있기 마련”이라며 “아무리 保安을 强化하고 努力해도 한 곳만 뚫리면 束手無策이 된다”고 말했다.

最近國內에 烈風처럼 擴散되고 있는 핀테크 活性化도 個人情報保護가 뒷받침되지 않으면 ‘空念佛’에 그칠 수 있다는 指摘이 나온다. 金融去來의 便利性만 强調해 情報保護가 疏忽하게 다뤄져서는 안 된다는 것이다. 김인석 고려대 情報保護大學院敎授는 “情報流出事故以後 반짝 各種對策을 쏟아냈지만 最近 핀테크 烈風이 불며 情報保安을 等閑視하는 傾向이 있다”고 指摘했다. 金敎授는 “IT 專門人力과 專擔組織을 效率的으로 運用하고, 常時的인 保安 시스템을 만들어 持續的으로 管理해야 한다”고 强調했다.

신민기 記者 minki@donga.com

#핀테크 #個人情報流出