내부직원·외주업체 직원 소행...문서 출력물과 USB 이용해 유출 

금융권, 외주업체 직원 및 출력물 보안에 구멍  

[보안뉴스 김태형] 11일 한국스탠다드차타드은행(SC은행)과 한국씨티은행에서 은행권 개인정보 유출사고 중 가장 많은 13만여건의 개인정보 유출이 확인된 가운데, 창원지검 특수부는 고객 개인정보 대량으로 유출한 혐의로 한국스탠다드차타드은행 외주업체 직원 A씨와 씨티은행 대출담당 직원 B씨를 구속 기소했다고 밝혔다.

또한, 검찰은 이들에게 개인정보를 전달받은 대출모집인 D씨 등 3명을 구속하는 등 모두 12명을 기소했다.

한편, 한국씨티은행 경기도 모 지점 대출담당직원인 B씨는 지난 4월말 은행 내부 전산망에 저장돼 있는 고객명과 휴대전화번호, 대출액과 만기일자 등이 포함된 고객정보 3만 4천건을 3차례 문서로 출력해 대출모집인 P씨에게 전달한 혐의를 받고 있다.

B씨는 자신의 대출 영업 실적을 올리기 위해 자신에게 주어진 보안 권한을 이용해 업무시간대에 고객정보를 출력해 유출한 것으로 드러나, 금융권의 내부자에 의한 접근권한 관리와 보안관리가 문제점으로 떠올랐다.

또한, SC은행 IT센터 외주업체 직원인 A씨는 전산프로그램 개발업무를 담당하면서 지난 2011년 11월부터 지난해 2월까지 대학선배의 부탁을 받고 고객정보 10만 3천건을 USB에 저장해 5차례에 걸쳐 전달한 혐의를 받고 있다.

이렇게 A씨가 빼돌린 개인정보는 은행 특정 신용대출상품 상담자 고객정보 파일로 성명, 주민등록번호, 휴대전화번호, 직장명 등이 포함된 것으로 밝혀졌다.

검찰조사 결과, 이처럼 금융회사에서 유출된 고객정보는 대출모집인, 대부중개업자들 사이에서 생성시기나 주요정보의 포함 여부에 따라 건당 50원에서 500원까지 헐값에 거래되고 있는 것으로 확인됐다.

최근 기업들은 내부정보 및 고객정보 유출로 인한 피해방지를 위해 보안을 강화하고 있다. 특히 공공기관이나 각 기업들은 내부의 중요 정보인 고객정보나 핵심기술, 영업비밀 등을 보호하고 외부로의 유출을 방지하기 위해 DLP(Data Loss prevention, 데이터 유출방지) 솔루션 등 고객정보 오남용 시스템을 도입하고 있는 실정이다.

은행권도 마찬가지다. 국민은행의 경우 내부정보 유출방지 시스템이 구축되어 있고 내년에는 업무자들의 고객정보 오남용 방지를 위한 시스템도 구축할 예정인 것으로 알려졌다. 하지만 이처럼 내부정보의 유출 방지를 위한 보안 강화에도 불구하고 SC은행과 씨티은행에서는 고객정보 유출사고가 발생했다.

이에 대해 국내 보안업계 관계자는 “현재 국내 은행권에는 내부정보 유출방지를 위해서 국내 DLP 솔루션이 도입되어 있다. 하지만 SC은행이나 씨티은행과 같은 외국계 은행은 본사에서 허용하는 보안 솔루션만 도입할 수 있도록 되어 있어 국내 DLP 솔루션을 제안했지만 사용할 수 없는 상황”이라면서 “DLP 솔루션이 도입되어 있었다면 이러한 정보 유출사고는 충분히 방지할 수 있었을 텐데 안타깝다”라고 말했다.

이와 관련 한국씨티은행 관계자는 “내부직원에 의한 고객 정보유출은 사실이다. 다만 DLP가 적용되어 있었기 때문에 이 직원은 데이터를 복사하거나 저장해서 유출하지는 못했고 문서출력을 통해 유출시켰다”면서 “한국씨티은행은 올 10월부터 모든 고객 정보에 마스킹 처리를 하고 있다. 하지만 지난 4월 발생한 사건이기 때문에 당시 고객 정보는 마스킹 없이 노출됐다”고 설명했다.

또한, SC은행 관계자는 “이번 사건은 외주업체 직원의 소행으로, 전산시스템 개발을 위해 데이터 접근 권한을 부여했지만 이에 대한 관리가 미흡해 발생했다. DLP 솔루션을 비롯해서 다른 보안 솔루션을 적용하고 있는지 확인해 보겠다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>