인터넷 통신망 업무·외부용 완전 분리… 메일 외부 전송땐 부서장 승인 의무화
# A은행 김모 과장은 최근 사내 보안 규정이 강화돼 업무를 처리하는 데 예전보다 많은 어려움을 겪고 있다. A은행은 원래부터 개인컴퓨터(PC)에 USB를 비롯한 스마트폰, 태블릿 PC 등 스마트기기 및 각종 외장하드 장치 연결이 불가능했지만 며칠 전부터는 메일을 보낼 때 상사의 승인을 받아야 했다.
또 승인을 받았다 하더라도 메일에 전화번호 등 숫자가 포함돼 있을 경우 이에 대한 승인을 따로 받아야 한다. 이름이나 숫자 등의 개인정보가 담길 경우 메일 전송이 되지 않도록 은행 시스템이 구축돼 있기 때문이다. 이에 김 과장은 예전과 비교해 업무 처리 속도가 현저히 떨어졌다.
이처럼 은행권은 기존에 시행하고 있던 정보 보안 조치를 보다 엄격하게 시행하고 있다. 기존 수칙만 잘 지켰다면 최근 발생한 1억건 이상의 정보유출 사고는 충분히 막을 수 있었던 인재(人災)였다는 판단에서다.
은행들은 원래부터 금지돼 있던 USB 등 각종 외장하드 장치 연결에 대한 보다 각별한 주의를 기울이는 한편 사내 게시판에 정보 보안 관련 내용을 수시로 게재해 경각심을 고취하고 있다.
우리은행은 올해 초 외부로의 메일 전송 승인권이 기존 팀장에서 부서장으로 격상됐다. 또한 인터넷망을 업무용과 외부용으로 완전히 분리한 물리적 망분리도 지난해 완료했다.
이달 7일부터는 준법감시인을 의장으로 하고 15개 본부 부서장을 위원으로 하는 고객정보협의회를 운영, 월 1회 이상 회의를 열고 고객정보 보호를 위한 실행과제 선정 및 모니터링을 실시하고 있다.
신한은행은 은행권 처음으로 지난해 4월 물리적 망분리를 완료하고 PC 외부장치 연결 제한, 내부자료 외부 전송 제한 등 기존의 수칙 준수를 독려하고 있다.
하나은행은 올해 상반기 물리적 망분리를 완료할 예정이며 현재 고객정보 데이터 암호화를 추진 중이다. KB국민은행 역시 지난해 말 물리적 망분리를 완료했고 반출 정보의 승인을 부서 단위에서 본부 단위로 격상했다. 또한 은행 PC에 고객 개인정보를 저장하지 않고 인터넷상에 통합 저장·관리하는 클라우딩 시스템 구축을 추진하고 있다.
이번에 정보 유출 사고가 발행한 카드사들도 보안을 대폭 강화하고 있다. 롯데카드는 지난달 초 발생한 정보유출 사고 이후 USB 사용을 물리적으로 원천 차단했다. 기존에는 부서 허가와 정보기획팀 승인을 받은 극히 예외적인 경우 USB 사용을 허용했지만 지난달 말부터는 USB 사용이 완전히 차단됐다.
현재 롯데카드는 PC에 고객정보를 저장하지 않고 인터넷상에 저장하는 클라우딩 시스템 구축을 검토하고 있다. 또한 이른 시일 내에 IT정보 보안 관련 외부 컨설팅을 진행할 계획이다.
롯데카드 관계자는 “영구적으로 USB 사용을 전면 제한하는 것은 업무 효율상 좋은 방법이 아니다”라며 “이미 개인정보가 암호화돼 있는 만큼 앞으로 IT정보 보안 정책을 어떤 방향으로 가져가야 할지 외부 컨설팅을 실시할 계획”이라고 말했다.
KB국민카드는 이번 정보유출 사고로 올해 1월 외주업체에 대해 지문인식 시스템 및 클라우드 PC를 적용했다. 현재 이메일 전송과 USB 등 외부장치 연결은 본부장 승인이 있어야만 가능하다.
삼성카드는 현재 각 부서에 대한 보안점검을 진행 중이다. USB 등 외부장치 이용 금지, 메일 전송 제한, 망분리 등 이미 시행 중인 정보 보안 조치 등에 대한 미비점과 보완점을 살펴보고 있다.
삼성카드 관계자는 “정보 보안 조치가 전반적으로 강화되고 있는 분위기”라며 “현재 일부 부문에만 적용되고 있는 클라우딩 시스템을 전체로 확대하는 등의 방안을 보안 강화 조치 중 하나로 검토하고 있다”고 말했다.
보험업계도 정보유출 관련 대책 마련에 나서고 있다. 한화생명은 외부업체의 PC 반입을 원천 차단하는 방안을 검토 중이다. 외부 접근 자체를 전면 봉쇄한다는 취지다.
현재 시스템 개발자 등 IT정보 보안 인력은 본인이 PC를 통해 업무를 수행한다. 단 PC를 통해 해당 보험사 데이터 베이스에 접근할 수 있는 권한은 방문시마다 부여되며 고객정보 등 긴밀한 정보에는 접근할 수 없다.
현재 빅3 보험사인 삼성·한화·교보생명에는 개인정보 암호화, 고객정보 접근권 제한적 제공, 이메일·프린트·USB 금지 및 고객정보 관리부서의 실시간 모니터링 등의 정보 보안체계가 갖춰져 있다.
보험사 한 관계자는 “대형 보험사 등은 이미 높은 수준의 보안체계를 구축해 놓았다”며 “중소형 보험사들의 개인정보 암호화와 실시간 모니터링 체계 구축 등이 필요하다”고 말했다.