“금융기관 보안 아무리 높여도, 연계기관 한 곳 취약하면 사고”

"정보 보안은 한데 묶인 여러 쇠고리중 어느 한 고리가 약하면 그 부분이 끊어지면서 제대로 기능을 못하게 됩니다. 금융기관이 나름대로 보안 체계를 갖춘다고 해도 연계기관 중 한 곳만 잘못하면 사고가 날 수밖에 없는 구조입니다."

금융권의 대규모 개인정보유출 사건이 일파만파로 확산되고 있는 가운데 금융 지주회사와 계열사 간의 고객정보 공유 과정에서 보안 구멍이 생길 수 있다는 지적이 제기됐다. 고객정보를 취급하는 연계기관 중 단 한 곳만 취약해도 정보 유출 사고는 얼마든지 일어날 수 있다는 것이다.

22일 금융권 및 보안업계에 따르면 금융지주회사법, 신용정보보호법 등에 의해 수집한 개인정보를 타 기관에 유통할 수 있지만 해당 기관에 보안 수준까지 통제하지는 못하는 것으로 나타났다.

금융지주회사법에 따르면 지주회사는 개별 자회사의 고객 개인정보를 모아 임의로 사용할 수 있다. 신용정보보호법에서도 신용정보회사들이 여러 금융기관으로부터 수집한 정보를 가공·판매하는 행위를 허용한다.

이에 따라 각 금융기관이 수집한 개인 정보가 100개에서 많게는 500여개의 연계 기관에 유통되고 있어 정보유출 사고가 재발할 가능성이 높다는 관측이다.

보안업계에서는 고객 정보가 유통되는 과정을 통제할 수 없다면 그 연결고리의 보안성을 강화해야 한다고 주장하고 있다. 금융권에서 데이터베이스(DB) 암호화 솔루션을 도입하는 등 정보 보안에 힘쓰고 있지만 지금 제도로는 연계 기관의 보안수준까지 통제할 수는 없다는 것.

펜타시큐리티 관계자는 "이번 사고도 결국 카드사와 신용평가회사 사이의 연결고리에서 문제가 발생했지 않느냐"며 "현 상황에서는 금융권이 아무리 보안을 강조해도 사고가 일어나는 건 필연적"이라고 말했다. 그는 "각 기관의 보안 균형을 높은 수준으로 유지하는 '대외연계 보안' 방법론을 국가적 차원에서 모색해야 할 때"라고 덧붙였다.

특히 외주인력 접근권한 관리, DB 접근제어 등 내부 인력 관리 시스템의 차이가 보안 사고를 불러올 수 있다.

보메트릭이 발표한 '내부자 위협' 보고서에 따르면 73%의 기업이 내부직원의 데이터 접근을 막지 못하는 것으로 나타났다. 내부 보안 수준을 높여도 자회사, 외주업체 등에서 사고 위험은 항상 도사리고 있다는 의미다.

이문형 보메트릭코리아 지사장은 "아직 많은 기업의 DB 암호화와 데이터 접근 권한 시스템이 완료되지 않아 대규모 정보유출 사고의 위험은 항시 제기되게 마련"이라며 "모든 기업이 내부자 관리 방안을 마련해야 한다"고 강조했다.

sane@fnnews.com 박세인 기자