카드사, ISMS(정보보호관리체계)' 외면 … 개인정보 유출 방지 조치 미흡해
2014-01-26 10:39
아주경제 장윤정 기자 = 1억여건의 가입자 정보 유출 사태를 빚은 카드사들이 보안 문제를 사전에 방지하는 '정보보호관리체계'(ISMS)도 외면한 것으로 나타났다.
ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도다.
관련 업계는 이번 정보유출 사고에 연루되지 않았더라도 대부분의 카드사는 이 제도에 관심을 기울이지 않아 정보보호에 소극적으로 대처한다는 비판을 제기했다.
26일 미래창조과학부와 KISA에 따르면 이번에 정보유출 사고를 일으킨 국민카드, 롯데카드, 농협카드는 ISMS 인증업체 명단에서 빠져 있다. 카드업계를 통틀어 ISMS 인증을 받은 곳은 BC카드뿐이다.
ISMS 인증을 받으려면 104개 항목 기준을 통과해야 한다. 이 가운데는 외부인이 주요 전산망에 접근해 저장기기로 정보를 빼가는 등 이번 정보유출 범행 수법을 방지하는 항목도 있다.
외부자 직원의 출입·보유장비·업무망 접속 등을 통제하는 '외부자보안' 항목, 중요 문서 등의 반출·입 절차 등을 마련하는 '물리적보안' 항목, 외부자가 정보에 접근하는 권한을 한시적으로만 부여하는 '접근통제' 항목 등이 여기에 해당한다.
KISA 관계자는 "국민카드, 롯데카드, 농협카드가 이런 대책을 마련해 ISMS 인증을 받았더라면 이번 사고의 발생 가능성을 낮출 수 있었을 것"이라고 말했다.
문제는 카드사들이 의무 ISMS 인증 대상이 아니라는 점이다.
정부는 통신사와 IT서비스 업체, 웹사이트 등 정보통신서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자에 대해 ISMS 인증을 의무적으로 받도록 하는 정책을 지난해 도입했다.
포털, 쇼핑몰 등 주요 인터넷 기반 사업자는 ISMS 인증 대상자에 포함되지만, 카드사들은 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의무 대상자에서 제외됐다.
의무 대상자가 아니더라도 자발적으로 보안을 강화하기 위해 ISMS 인증을 신청할 수도 있지만, 카드사들은 금융당국으로부터 전자금융거래법과 전자금융감독규정 등 규제를 받는다는 등의 이유로 ISMS 인증에 관심을 기울이지 않고 있다.
이런 경향은 은행 업계에서도 나타난다. 더욱이 다수의 대형 은행은 인터넷뱅킹 매출과 이용자 측면에서 ISMS 의무 인증 사업자이지만, 실제로 ISMS 인증을 받은 곳은 국민은행, NH농협은행, 상호저축은행중앙회, 중소기업은행 등에 불과하다.
하지만 잇단 금융 보안 사고로 ISMS에 대한 금융권의 관심이 높아질 것이라는 전망이 나온다.
미래부는 ISMS 적용 확대를 위해 금융당국과 협의한다는 입장이다. 금융위원회도 이른바 '금융 ISMS'가 필요하다고 보고 도입 방안을 검토하고 있다. 그러나 현 ISMS를 적용할지, 새로운 체계를 만들지 등 세부 내용은 아직 구체화하지 않은 것으로 알려졌다.