정보유출 사고 피한 카드사 비결은

최근 사상 최대 규모 고객정보 유출 사건이 발생하면서 삼성카드 현대캐피탈 등 과거 사고를 경험한 후 강도 높은 정보 보안 수칙을 적용한 금융사 사례가 주목받고 있다.
금융당국은 현장 검사 결과와 업계 사례를 바탕으로 17일 열리는 개인정보보호 대책 태스크포스(TF)에서 체크 리스트를 만들고 전 금융사에 대한 일제 점검을 실시할 예정이다.
금융위 관계자는 15일 "삼성카드 등 과거 고객정보 유출 사고를 경험한 금융사들은 이후 강도 높은 정보 보안 수칙을 적용해 이 같은 사태를 피할 수 있었다"며 "이들 사례를 바탕으로 내규를 정비할 계획"이라고 말했다.
이번 사건에서 고객정보를 유출한 피의자는 내부 시스템 개발을 위해 파견된 외부 용역 직원으로, 외부 컴퓨터를 반입해 사용했으며 USB 등 저장장치를 사용해 고객정보를 유출한 것으로 드러났다. 부정사용방지시스템(FDS)을 개발한다는 명목으로 개인 신상정보와 거래내용 등 각종 신용정보에도 접근할 수 있었으며 이에 대한 감시가 부실했다.
삼성카드 현대캐피탈 등에서는 외부 PC 반입과 USB 등 별도 저장장치 사용을 금지하는 등 강도 높은 보안 조치를 적용하고 있다. 2011년 8월 삼성카드는 내부 직원이 고객 192만명 정보를 무단으로 조회하고 이 중 47만건을 개인 PC로 받아 300건을 외부로 유출한 사건이 발생했다. 이 사건 이후 삼성카드는 PC 보안장치를 도입해 USB 등 이동식 저장매체에 대한 저장을 원천 차단하는 등 보안 조치를 대폭 강화했다. 문서 중앙저장솔루션을 도입해 모든 개발자 PC 자체에 자료 저장이 불가능하도록 만들었다.
2011년 해킹으로 고객 175만명 정보가 유출된 현대캐피탈도 전 직원을 대상으로 한층 강도 높은 정보 보안 수칙을 적용하고 있다. 전 직원이 업무 시스템에 로그인할 때 일회용 비밀번호(OTP) 등 3중으로 패스워드를 입력하도록 했으며, 사용자 PC 파일을 암호화해 저장 관리하고 USB 등 외부 저장매체를 통한 데이터 저장ㆍ복사를 금지했다.
[배미정 기자]