아주경제 송종호 기자 = “개인정보를 취급하는 직원을 최소화해 지정하고, 직원 교육 등을 통해 개인정보를 관리하는 대책을 시행하고 있습니다.”

KB국민카드가 홈페이지를 통해 공개한 ‘개인정보처리방침’ 제8조(개인정보의 안전성 확보 조치)의 일부 내용이다.

이처럼 금융권은 지난해 카드사 개인정보 유출사고를 계기로 보안 대책에 공을 들여 왔다. 특히 개인정보 유출사고를 겪은 KB국민·롯데·NH농협카드 등 3사는 정보보안 인력 강화, 관련 예산 증액 등에 적극 나서며 재발방지에 힘을 쏟고 있다.

KB국민카드는 지난해 3월부터 종합대응 태스크포스팀(TFT)을 가동하고 있다. TFT에서는 개인정보 유출사고 재발 방지를 위한 각종 대책 수립과 함께 금융분야 개인정보 유출 재발 방지 종합대책 관련 후속조치 및 개선 과제의 효율적 추진 방안도 마련하고 있다.

아울러 이광일 KB국민카드 상무를 정보보호최고책임자(CISO)로 선임하고 조직 개편도 단행했다. 고객정보 보호 및 보안기능 강화에 특히 초점을 맞춰 정보보호본부에 관련 인력을 보강하는 한편 고객정보보호와 보안기능 전담 수행을 위한 전담팀도 만들었다.

고객정보보호의 적극적 실천과 임직원의 의식 전환을 위한 교육도 강화했다. 신입사원 연수 등 사내 연수 과정에 정보보안 과목을 신설하는 등 모든 대내 연수 시 정보보안과 윤리교육 프로그램을 필수 과정으로 운영하고 있다. 실질적인 정보보안 교육을 위해 업무·직급·단계별로 교육 프로그램도 세분화했다.

롯데카드도 최동근 전 롯데정보통신 이사를 CISO로 영입했다. 정보 유출 가능성을 사전에 차단하기 위해 외부 개발자의 PC 반입 금지와 함께 가상 데스크 톱(VDI) 환경에서 근무하도록 하고 있다. NH농협카드도 소비자보호팀을 신설, 고객정보보안에 공을 들이고 있다.

은행권도 정보보안에 중점을 두고 있다. 신한은행은 지난해 조직개편을 통해 정보보안실을 정보보호본부로 승격시키고 정보보호최고책임자(CISO)를 선임했다.

또 지난해 5월에는 본부부서 직원에 한정됐던 고객정보 조회사유 관리 제도를 전 영업점으로 확대했다. 직원이 고객정보 조회 시 매일 그 사유를 소명하고 적정성을 점검받는 제도다. 아울러 은행권 최초로 '고객정보보호 관리시스템'을 신설해 고객정보의 생성·이용·제공·저장 및 파기까지 전 주기에 걸친 보안관리 체계를 구축했다.

하나은행은 지난 2012년 11월 IT보안팀을 신설한 이래 2013년 7월 IT보안부로 확대한 데 이어 지난해 1월에는 고객정보보호본부를 신설했다. 아울러 모든 내부 전산시스템 접근 시에는 보안시스템을 경유하도록 해 비 인가자의 접근을 통제했으며, 인가된 내부 직원만이 소지할 수 있는 모바일 일회용 비밀번호(OTP)를 모든 전산시스템에 적용했다.

NH농협은행도 지난해 3월 정보보안본부를 설립하고 남승우 전 신한카드 IT본부장을 CISO로 영입했다. 정보보안본부는 모든 은행의 고객정보보호 업무를 총괄하는 역할을 수행하고 있다.

그러나 IT업계는 이 같은 노력 뿐만 아니라 경영진 및 임직원들의 보안에 대한 인식 전환이 뒤따라야 한다고 강조한다. 최근에 발생한 대형 개인정보 유출사고의 경우 내부자 또는 협력사 직원에 의한 경우가 대부분이었기 때문이다.

이에 대해 정보보안 업계는 보안전담부서가 막중한 책임을 갖고 있는 것에 비해 이를 실행할 수 있는 권한 및  보안 전문인력의 부족, 단기적인 기업실적에 매여 장기적인 정보보호정책 및 예산을 투입하지 못하는 데 근본 원인이 있다고 분석했다.

윤두식 지란지교시큐리티 대표는 “가면 갈수록 보안 컴플라이언스의 강화가 필요한 상황이지만 업무 편의성을 해친다는 이유로 컴플라이언스를 스스로 깨뜨리는 상황은 정보 유출사고의 악순환을 지속시킨다”며 “정보 유출사고가 기업의 경쟁력 약화, 최종적으로는 사업에 치명적인 아킬레스건이 될 것이라는 경영진과 임직원의 근본적인 인식 전환이 필요하다”고 조언했다.