작년 국내 대표적 신용카드사 두 곳의 고객정보가 유출되는 사고가 발생했습니다. 내부자가 신용정보회사 등에 고객정보를 판매했던 것이 원인입니다.

연이은 해킹 사고에 대비해 카드사들은 내부 보안 프로세스를 점검하고 정보보호책임자를 확대·내정하는 등 기업 정보관리에 대한 심혈을 기울이고 있습니다.

이러는 가운데 개인정보보호법 발효까지 이어지며 각 카드사들은 정보보안과 기업 비즈니스 사이에서 어떻게 균형을 맞춰야 할지 갈팡질팡하는 모습입니다. 고객 개인정보 활용과 보호라는 완연히 상반된 가치 사이에서 어느 한쪽만 강조할 수는 없는 일이기 때문입니다.

카드 업계 내에서는 최근 리스크관리부 존재에 대한 회의론까지 일고 있습니다. 과거 카드사 리스크 관리부서의 책임과 위치는 막강했습니다. 그만큼 고객정보에 대한 수집과 분석 활용이 큰 비중을 차지했으며 이를 기업 비즈니스 향상에 직접적으로 연관시키는 작업들이 주를 이뤘기 때문입니다. 하지만 현재 카드사의 대다수 업무가 개인정보보호법에 위반되는 사항이 늘어나면서 딱히 리스크관리부의 영역이 필요하겠냐는 자탄의 소리가 일고 있는 것입니다.

그렇다고 보안에 대한 투자가 ‘매우’ 활발하냐는 질문에 있어서도 답은 미지수입니다. 한 카드사는 최근 망분리 투자에 대해 약 50억 원의 예산을 책정해 놓았습니다. 이정도의 금액이면 소위 말해 ‘럭셔리’하고도 남은 망분리 솔루션을 구축할 수 있었으며 사용자 PC수는 약 2700여 개에 달했습니다.  하지만 계획은 수포로 돌아갔습니다. 이유는 간단합니다.

CEO의 지나가는 말 한마디였습니다. “망분리 투자비용이 50억 원? 뭐 이리 비싸. 9억 원으로 맞춰” CEO의 이 말에 IT부서는 꿀 먹은 벙어리가 되고 말았습니다.

결국 2700대 PC에 설치될 예정이었던 망분리 솔루션은 200여 대로 대폭 줄어들게 됩니다. 그나마 이것도 다행이라는 안도의 목소리입니다. 이 카드사의 보안 담당자는 “이미 망분리 PoC도 완료했고 타 동종 기업에게 노하우를 벤치 할 수 있을 만한 자신도 있었지만, 최고 경영자의 말 한마디에 모든 것이 원점으로 돌아갔다”고 토로합니다.

결국 국내 대부분 카드사들은 보안에 있어서 ‘위험도 분석 26항목’만 잘 지키면 된다는 자포자기한 심정입니다.

물론 모든 현상에는 양날의 검이 존재합니다. 위에 말한 사례가 개인정보보호법으로 인한 기업 보안의식 향상과 준비 과정에서의 열병일 수도 있습니다.
하지만 정부기관의 산업군 특성에 맞는 정보보호 가이드라인 및 권고, 또한 기업 최고 경영자 층의 더 이상 말이 아닌 행동으로 보여주는 ‘눈에 보이는’ 정보보호 인식 향상이 뒷받침 돼야 할 시점임은 분명합니다.