금융권 내부통제, 책임의식 높이는 방향으로 간다
실명제, 추적, 로그관리 시스템 추진 … 협력사 비즈니스에 제동결려

최근 카드사 정보유출 사태 이후 보안 프로세스를 재정립해야 한다는 목소리가 높다. 향후 터질지 모르는 2차 개인정보유출을 막기 위한 방어적인 측면과 사회적 안정망을 확보하기 위한 차원이다. 하지만 유래없는 금융 보안사고로 인해 금융사를 비롯해 보안담당자들의 입장은 무겁기만하다.

방창완 편집국장 bang@ciociso.com

새로운 체계를 세우는 것도 문제지만 금융당국에서 지시하고 있는 보안준수사항을 현실에 적용하자면 많은 부분에서 어려움이 예상된다. 기업 보안 담당부서를 비롯해 임직원들의 고충도 문제지만, 업무의 속성상 외부 마케팅이 잦은 보험사와 카드사의 경우는 협력사 부분까지도 철저한 관리가 이뤄져야 할 것으로 보여 앞으로 금융사와 협력 관계를 맺고 있는 중소기업들의 어려움도 예상된다.
따라서 당분간은 내부적으로 보안 프로세스를 확립하는데 있어서 크고 작은 진통이 예상된다. 금융권 모 카드사 보안 담당자는 “PC를 비롯해 다양한 매체, 개발자 환경에 대한 관리통제 솔루션이 있지만 정책을 어떻게 가져가느냐가 관건”이라며 “기업 내부통제를 위해서는 당국의 지시에 따른 강력한 통제가 이뤄져야 할 것”이라고 말했다.
이 카드사 담당자는 “기본적으로 내부통제 정책을 강화하기 위해서는 USB에 대한 읽기와 쓰기가 불가능하게 할 뿐만 아니라 망분리전까지는 인터넷을 원천적으로 차단하고 개인별로 업무상 필요한 사이트는 개발하되 본인이 책임을 지는 형태로 관리의 패러다임이 바뀌게 될 것”이라고 말했다.

로그분석 통해 개인정보 이력 관리한다

PC에 개인정보가 상존하게 되면 실시간 탐지를 통해 소명을 할 수 있게 하기 위해, 개인정보를 다룰게 될 때 결제과정을 거치고, 소명에 대한 프로세스 체계를 갖춰가고 있다. 이 관계자는 “금융회사에서 사고사례가 있다면 이를 전제로 정책을 따라야 하는데 지금까지는 이런 부분이 이뤄지지 않은 것 같다”며 “직원들이 개인정보를 취급하게 될 때 실시간 모니터링을 통해 사전에 위험을 차단하는 방법을 취하고 있다”고 설명했다.
보통 로그분석을 통해 개인의 이력을 추적하면서 관리가 이뤄지면, 어느 정도 통제는 이뤄질 수 있다. 직원이 어떤 목적을 위해 개인정보를 다루고 주고받는지에 대한 히스토리에 대한 관리가 이뤄져야 확실한 내부통제가 이뤄진다는 것. 이런 내부통제의 실 업무는 정책과 로그관리로 이뤄진다.
로그분석에 있어서도 정보 추출시점과 내부 유통 시점, 폐기 또는 목적상 외부에 반출하게되는 상황에 대해 1:1로 관리하는 프로세스를 구현해 가고 있다. 이는 직접적인 활용에 대한 로그분석 작업이 이뤄지는 것이어서 비교적 명확하다. 보안강화에 힘쓰고 있는 금융기업들도 비슷한 형태를 띄게 될 것으로 보인다.
이 관계자는 한발 더 나아가서 외주 인력을 포함한 2,500여명에 이르는 인력에 대한 적극적인 모니터링 작업도 준비하고 있다고 말했다. 또한 개인정보를 취급하는데 있어서 목적을 정의하고, 해당 당사자 직원외에 ‘정보를 취급해서는 안된다’는 전제조건을 달고 있다고 전했다. 정보는 언제든지 재가공이 가능하기 때문에 정보를 원천적으로 다루는 개인에 대한 1:1 관리가 이뤄지지 않으면 관리가 어렵기 때문이다.
그는 “정보를 받았다면 받은 사람이 그 업무를 처리하고, 대신 업무를 처리하는 것이 아닌 ‘자급자족’의 형태가 되어야 관리가 가능하다”고 말했다. 정보가 이사람에서 저사람으로 흐르게 되면 관리의 복잡성이 따르게 된다. 명확한 관리가 이뤄져야 정보 추출후 사고가 발생하게 될 때 본인이 책임을 지게하기 위함이다. 지금까지는 상사가 업무 편의성을 위해 일부 업무를 부하직원에게 맡기는 경우가 있었지만, 앞으로는 개인정보에 관해서는 본인이 직접 다루게 한다는 점에서 이전과는 달라진 업무 형태를 보이고 있다.

본인 업무는 본인이 다룬다

이 관계자는 “개인정보를 다루는 것에 있어서 실명제가 이뤄져야 한다고 본다. 그래야 관리를 할 수 있다”고 말했다. 이런 정책은 향후 사고에 대한 책임을 명확하게 하기 위함이다. 순간의 실수로 엄청난 사회적 파장을 일으키고 있는 현재의 상황을 미뤄 봤을 때 이는 어쩌면 당연한 일이 되고 있다. 기업의 내부통제 방향이 이처럼 고압적으로 이뤄지고 있는 이유는 개인정보보호에 대한 최근의 여론이 심각한 상황에 이르고 있으며, 법도 과거에 2차 피해에 대해 고객이 입증을 했지만, 이제는 회사가 입증을 해야한다는 분위기로 흐르고 있어서 회사에서도 더 이상의 피해를 막기 위한 강공법을 쓸 수 밖에 없는 상황이라는 것이다.
2차 피해로 인한 입증에 시달리기 보다는 철저한 내부통제를 통해 원인규명을 명확히 하려는 통제 방법이 오히려 더 낫다는 입장이다. 현재의 분위기가 일단 사고가 터지면 과거처럼 회사나 개인의 업무 실수로 그치는 것이 아니라 범법자로 기소가 우려가 있는 사회 분위기도 한몫을 하고 있다.
이 관계자는 “경찰이 범인을 못잡게 되더라도 죄인취급을 받지는 않을 것이다. 하지만 보안 담당자가 업무 실수를 하게 되면 죄인 취급을 받게 된다. 마치 전방에서 총과 칼을 들고 철책근무를 서는 것과 다르지 않다”고 말했다. 이 같은 분위기는 일반 회사에서 업무를 단순히 못하는 것과는 다른 분위기라는 것. 법에 의해 책임을 져야하는 성격이기 때문에 이러한 내부통제의 규정은 갈수록 강화될 것으로 보인다는 것이 관계자의 설명이다.

보안준수 어려운 협력사 사업 힘들어진다

이런 분위기는 협력사에게도 적용될 여지가 있어 앞으로 금융회사와 비즈니스를 추진하는 협력사의 내부통제도 동시에 이뤄질 것으로 보인다. 모 금융기업의 관계자는 “앞으로 금융회사의 일정조건에 준하지 않는 협력사의 경우, 계약이 해지되는 사태도 발생할 것이다. 금융당국의 기준대로 한다면 현재 중소기업이 태반인 협력사의 경우, 사업을 하기가 더욱 어려워 질 것”이라고 우려했다.
이번 카드사 사태가 협력사에 의해 이뤄진 만큼 외주관리 프로그램에 의한 규칙적용이 강화될 것은 자명한 일이라는 것이다. 모 금융회사 관계자는 “현재는 외주 협력사(개발자)의 경우, 노트북 반입을 금지하고 있지만 PC 자체도 반입을 금지하고 있다. 한마디로 몸만 들어오게 되는 경우여서 개발 생산성에 많은 어려움이 예상된다”고 말했다.
보통 개발 협력사의 경우, 프로그램 소스를 가지고와서 개발업무를 진행하는 경우가 많은데 이 마져도 어렵게 된다면 생산성에 많은 차질이 이뤄질 것으로 보인다. 금융권의 분위기가 내부통제를 강화하는 방향으로 가면서 당분간 이에 따른 휴유증이 지속될 것으로 보인다.
하지만 금융사 입장에서는 당연한 조치일 수밖에 없다는 입장이다. 이번 사태를 직접적으로 당한 기업의 경우, 해당 임원들이 사퇴하는 것은 물론, 기업 이미지에도 막대한 타격을 입었기 때문이다. 카드사의 경우, 회원사 1명을 유치하기 위해서는 통상적으로 10만원 정도의 비용외에도 유지 및 관리 비용이 든다는 점을 감안했을 때 한번의 타격으로 이런 노력과 수고가 고스란히 물거품이 되기 때문이다.
또한 기업 이미지를 회복하기 위해서는 시간과 상당한 노력이 요구된다. 업계의 한 관계자는 “내부 통제가 강화되면 카드사의 경우, 주변 협력사의 사업도 힘들어 질 것은 자명한 일이다. 협력사 대부분이 중소기업이어서 자체적으로 금융당국에서 요구하는 보안 인프라를 지킬 수 있는 기업이 몇이 될지 우려를 금할 수 없다. 또한 카드사 자체의 제휴 마케팅이나 비즈니스 자체도 축소될 여지가 있다”고 말했다.
이 관계자는 “현재 사회가 당분간 고압적인 방향으로 흐를 것 같다. 그만큼 상황이 심각하기 때문이다. 당분간은 이런 기조로 가다가 어느 정도 사회적으로 보안체계와 문화가 무르익게 됐을 때 이전과는 모습이 달라지겠지만 예전 같은 비즈니스 체계가 이뤄질 것으로 보인다”고 말했다.
업계에서는 결국 강력한 내부통제로 방향이 이뤄진다면 규모 있는 기업만 살아남게 될 가능성도 있다고 우려를 표명했다. 특히 각 기업의 내부통제도 힘든 상태에서 협력사 관리도 어려운 상황이어서 협력사의 경우는 자체 보안 인프라를 확충해야하는 어려움이 따르게 된다. 앞으로는 보다 적극적인 업계의 자정 노력이 필요할 것으로 보인다.