카드사 “전산센터 망 분리이중 모니터링” ...금융위 “처벌 대상 범위 경영진으로 확대”
카드사들은 고객 정보를 은행보다 더 많이 취급하고 마케팅 관련 위·수탁업체들이 많아 정보 유출에 취약할 수밖에 없다.
하지만 내부통제가 단순히 구색용이 아닌 운영위험 감소를 위해 반드시 필요하다고 보고 물적·인적 투자를 과감히 하고 있다. 반복적으로 일어난 금융사고 이후 내부통제 관리에 허점을 드러냈기 때문이다.
지난 2011년 4월은 금융보안에 있어 잔인한 달로 기억된다. 현대캐피탈이 고객정보 42만건의 데이터 유출 사실을 발표한 데 이어 농협의 전산마비로 인한 금융거래 중단 사고가 터졌기 때문이다.
내부 직원의 부정에 의한 사고도 잇따랐다. 삼성카드는 지난 2010년 1월부터 지난해 8월까지 내부직원이 81만7330건의 고객정보를 유출했고, 하나SK카드 역시 내부직원이 고객정보 5만1723건을 외부에 팔아 넘겼다.
금융위원회는 지난 4월‘금융전산 보안TF’를 출범했고, 금감원은 금융사고 예방을 위한 내부통제 강화 방안을 발표했다. 이번 방안에 따라 금융회사의 내부통제 소홀에 대한 처벌대상 범위가 경영진으로 확대됐다. 지금까지는 대부분 실무진 문책에 그쳤지만 책임 강화를 위해 CEO나 임원들도 연대책임을 져야 한다.
업계도 이에 적극 동참하고 있다. 하나SK카드는 내부 업무망과 인터넷망을 분리해 운영하고 있다. 전산센터 망분리는 올해 3월 완료했고, 부서 망분리는 2015년까지 단계적으로 완료할 예정이다. 현재는 보안을 위해 임시로 물리적 망분리를 해놓은 상태다. 최소한의 업무 진행을 위해 극히 제한된 공공 홈페이지만 접속 가능하도록 했다.
삼성카드는 고객정보를 권한이 없는 일반직원들은 아예 볼 수 없도록 접근 자체를 차단했다. 내부에서 사용하는 망과 외부에서 사용하는 망을 완전히 분리했고, 10건 이상 되는 개인정보를 열람하기 위해서는 팀장급의 결재가 반드시 필요하도록 보안을 강화했다.
또한 삼성카드는 카드사용 승인시점에서 리얼타임으로 개인별 사용 행태를 분석해 정상·사고 매출을 판단 할 수 있는 고도화된 통계적 부정사고 방지시스템(FDS, Fraud Detection System)을 도입, 사고를 예방하고 있다.
현대카드와 현대캐피탈 역시 과감한 인적·물적 투자를 하고 있다. 현대카드는 고객 정보보호를 위해 연간 130억원 정도를 투자하고 있으며 정보보호 인력만 34명에 달한다. 현대캐피탈은 128억원 규모의 정보보호 예산을 투입하고 있고 인력 규모는 30명이다.
현대카드는 자금을 송금할 때 다단계 결제 시스템을 거쳐야 한다. 담당자가 송금을 하면 관리자가 다시 한번 결제해야만 송금이 이뤄지는 시스템이다. 자금 집행 역시 사전에 등록돼 있는 통장으로만 가능하다. 자금과 관련된 모든 부분이 자체적으로 이중 모니터링되고 있다.
특히 협력업체들에 대한 정보보안 시스템을 구축해 주고 교육까지 해 주고 있다. 보안 점검 역시 컨설팅 업체를 통해 주기적으로 하며 평가 결과를 재계약에 반영하고 있다.
금융당국 관계자는 “검사를 나갈 때마다 내부통제 부분을 지속적으로 모니터링하고 있다”면서 “아직 내년 검사계획이 확정되지 않았지만 수시로 내부통제 부분을 점검할 것”이라고 말했다.