“어려운 시기 징계만이 능사 아냐” vs “직원에 의한 유출 더욱 문제”

[보안뉴스 권 준] 지난해 고객정보가 유출됐던 삼성카드와 하나SK카드에 대해 경징계를 내리기로 결정하면서 이에 대한 논란이 커지고 있다.

이는 금융감독원이 지난 19일 제재심의위원회를 열어 삼성카드 최치훈 사장과 하나SK카드 이강태 전 사장에게 각각 ‘주의적 경고’와 ‘주의적 경고 상당’의 징계를, 그리고 양 카드사에는 ‘기관 주의’ 조치를 내리기로 한 것으로 알려진 데 따른 것이다.       

삼성카드의 경우 한 직원이 지난 2010년 1월부터 지난해 8월까지 192만여 건의 고객정보를 무단 조회하고 이 가운데 300여건의 정보를 유출했고, 하나SK카드 역시 직원이 지난해 7월 9만 7천여건의 고객정보를 개인 이메일로 보낸 후, 이 가운데 5만1천여 건을 외부로 유출한 것으로 드러난 바 있다.

특히, 금융당국이 현대캐피탈과 농협의 고객정보 유출사고 이후, 금융기관 관리강화와 함께 유출사고 시 제재를 강화하겠다고 밝힌 터라 제재수위가 ‘기관 경고’ 수준이 될 것으로 예상됐지만, 결국 이 보다 한 단계 낮은 ‘기관 주의’가 내려진 것. 이와 관련 금융당국은 유출규모가 크지 않고, 외부 해킹이 아닌 내부 직원들에 의해 개인정보가 유출된 점 등을 고려해 제재수위를 낮춘 것으로 알려졌다.    

그러나 이번 카드사 제재조치와 관련해 금융권 등 기업보안 담당자와 일부 보안전문가 사이에 의견이 엇갈리고 있다. 금융권에서는 경기가 어려운 시점에 내려진 이러한 제재 결정으로 인해 카드업계 등 금융권이 더욱 위축되지 않을까 우려했다. 반면, 일부 보안전문가들 사이에서는 개인정보보호에 대한 관심이 커지고 있는 상황에서 제재수위가 솜방망이 수준이라며 일침을 놓은 것. 

이와 관련 금융권의 한 보안담당자는 “제재수위가 결코 낮다고 생각하지 않는다”며, “유출규모도 크지 않고, 카드사들이 유출사고 후 수습노력을 열심히 해왔는데, 하필이면 경기 침체로 카드사가 어려운 이 시점에 제재를 결정한 것에 대해 아쉬움이 남는다”고 말했다.

일반 기업의 한 보안담당자도 “해당기업을 징계한다고 유출사고가 줄어들진 않는다”면서 “기업이 아무리 노력해도 내부 직원들은 마음만 먹으면 개인정보 유출이 가능하기 때문에 제재보다는 오히려 지원이 필요하다”고 덧붙였다.

반면, 한 보안전문가는 “직원을 통한 유출이 외부 해킹에 의한 유출보다 더 심각하고 책임이 큰 것”이라며, “보안 솔루션 하나 구축하는 것보다 직원들에 대한 관리적 보안이 더욱 중요한데, 해당 카드사들의 경우 직원들에 대한 교육과 관리가 미흡했던 만큼 더욱 엄격한 제재가 필요하다”고 강조했다.     

이번 카드사 경징계 논란이 외부 해킹과 내부 직원에 의한 개인정보유출 가운데 어떤 경우가 기업의 책임이 더 무거운지에 대한 논란과 함께 이에 따른 기업의 처벌 또는 징계수위에 대한 ‘갑론을박’으로 확대되고 있는 셈이다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>