최동근 CISO “위수탁사·카드모집인·콜센터 직원 대상 교육 강화”  

[보안뉴스 김경애] 지난 한해 동안 카드사는 개인정보 유출사건으로 인해 곤혹을 치뤘다. 보이스피싱, 스미싱, 결제사고 등의 2차 피해가 일어나기도 했고, 하반기에는 카드모집인에게 개인정보를 열람하게 하는 등의 문제까지 끊이지 않고 발생했다. 게다가 최근에는 온라인 쇼핑몰에서의 부정결제 사건까지 일어나 카드업계는 고난의 연속이다.  

하지만 곤혹을 치렀던 만큼 개선된 사항도 많았다. 보안 시스템 구축 강화, 보안조직 구성 및 인력 확대, 예산 확충, 내부자 교육 확대 등 변화가 일고 있다. 이에 본지는 카드사 사태 1주년을 맞이해 롯데카드사를 직접 방문해 보안 시스템을 살펴보고, 최동근 CISO(정보보호최고책임자)와의 인터뷰를 통해 주요 개선사항에 대해 들어봤다. 

우선 롯데카드사를 방문하기 위해서는 롯데카드 내부 직원이 별도 안내데스크로 마중 나와야 한다. 그 다음에는 해당 직원과 함께 1층 안내데스크에서 방문증을 작성했다. 방문증에는 이름, 소속, 연락처, 출입시간, 방문이유 등을 기재해야 하며, 기자의 노트북은 안내데스크의 보안요원에게 점검 받는 과정을 거쳤다. 이런 과정을 거쳐 아무 이상이 없다는 승인을 받아야만 방문증을 받아 출입 게이트를 통과할 수 있다.

‘인터뷰 한번 하기 참 힘드네’라는 생각이 불현듯 들면서도 내심 안정감이랄까 안도감이 느껴졌다. 더욱이 카드사 내부에는 ‘롯데카드 人’ 행동규범 실천사항이 적혀 있는 포스터가 사내 곳곳에 붙어 있고, 직원들 PC에 보안퀴즈 팝업창이 뜨는 것을 보면서 그간의 노력을 엿볼 수 있었다. 

특히 카드사 사태 때 가장 큰 문제로 지적됐던 협력사 보안관리 개선 여부에 대해 최동근 CISO는 궁금했던 기자의 마음을 이미 알았는지 외부개발자실로 안내했다.

외부개발자실은 별도의 출입통제 시스템이 구축돼 있다. 출입증 외에는 어떤 것도 소지할 수가 없으며, 외부개발자 외에는 출입을 제한하고 있다. 꼭 출입해야 하는 경우에는 항시 대기하고 있는 보안요원 안내에 따라 출입사항에 관한 상세 내용을 기록하고, 승인허가를 받아야만 한다.

“물리적 보안 강화를 위해 1층 출입구와 외부개발자실에는 출입통제 시스템을 구축했어요. 외부개발자실 내부 PC에는 USB를 꼽을 수 있는 단자 자체가 없고요. 물론 모든 직원들의 PC도 USB 차단이 이뤄지고 있죠. USB를 꼭 사용해야 할 경우에는 보안 USB를 별도로 나눠주는데, 그럴 경우 모든 로그는 개인정보보호팀에서 모니터링을 하고 있죠.”

지난해에 이어 정보보호 인식개선 작업에 직접 나서고 있는 최동근 CISO는 내부직원을 비롯한 협력사, 수탁사 등에 대한 관리는 아직 풀어야 할 과제라며, 개인정보나 거래가 많은 주요 위·수탁업체를 중심으로 실태조사와 교육 강화에 주력할 계획이라고 밝혔다.

“모든 보안사고는 나부터 시작될 수 있다는 인식이 중요해요. 특히 보안은 보안담당자만의 업무가 아니라는 인식부터 출발해야 하고, 기업의 모든 직원이 얼마나 보안의식을 갖고 업무에 임하는지가 크게 영향을 미치죠. 모든 조직이 갖고 있는 공통된 문제로 함께 공감할 수 있는 보안문화를 만드는 게 중요해요. 이것이 곧 보안의 출발점입니다.”

가장 중요한 개선사항으로 보안문화를 꼽은 최동근 CISO는 보안문화 확산을 위해 현재 롯데카드 모집인 1,200~1,300여명을 비롯해 콜센터 상담사 등 총 6,000여명을 대상으로 서울, 춘천, 강릉, 부산, 제주도 등의 전국 지점과 콜센터를 직접 방문해 교육을 진행하고 있다고 밝혔다. 이렇게 진행된 교육은 지난 1년 동안 12,684명(중복 포함)에게 총 178회나 이뤄졌다.

“처음엔 ‘무슨 보안교육이냐’는 듯 대수롭지 않게 교육을 받아요. 그러다 실제 보안사건과 위반사례 등을 접하면 직원들은 심각해져서 돌아가죠. 특히 카드모집인 입장에서는 보안과 별로 관계가 없다고 생각하거든요. 그래서 교육 자료를 보내줘도 별 효과가 없기 때문에 제대로 된 보안의식이 갖춰지기가 쉽지 않죠. 그렇기 때문에 지속적인 교육이 중요해요.”

그래서일까. 롯데카드 내부 직원들의 PC 전원을 켜보면 보안퀴즈 팝업창부터 뜬다. 보안 캠페인 차원에서 최동근 CISO가 아이디어를 낸 보안퀴즈는 현재 프로그램 개발업체에서도 활용하고 있다.

하지만 이렇듯 보안환경을 개선했음에도 불구하고 보안사고는 얼마든지 발생할 수 있다는 점을 인식하는 게 중요하다. 잠시 잠깐 흐트러지는 바로 그 순간이 보안사고로 이어질 수 있기 때문. 그래서 ‘보안업무도 내 일이다’라고 생각하고, 전 직원 모두 한마음 한뜻으로 정보보호를 위해 노력하고, 고민해야 한다는 게 최동근 CISO의 설명이다. 즉, 보안사고에는 나도 원인이 될 수 있다는 인식이 있어야 보안사고 발생 빈도를 줄일 수 있다는 얘기다.

이러한 노력이 진행되기까지는 대폭 증액된 정보보호 예산도 큰 몫을 했다. 롯데카드의 정보보호 예산은 2013년 25억(운영비, 인건비 제외)에서 2014년은 재해복구센터인 DR구축 등을 위해 160억(인건비 별도)로, 2015년은 추가적인 DR 구축 등과 보안문화 정착을 위해 180억(인건비, 운영비 제외)으로 대폭 증액됐다.

기술적 측면에서는 DB보안 확대 적용, 네트워크 접근통제, DRM 시스템 개선 등을 통해 보안성을 한층 강화시켰다.

“지난해 4~9월까지는 정보보호 컨설팅을 받고, 그에 따른 조치가 이뤄졌어요. 특히 웹사이트에서 사용자들이 자신의 개인정보가 이용됐는지 확인할 수 있도록 조치를 취하고, 암호화 작업을 고도화하는 등 사고 이후 금융감독원의 재발방지 종합대책에서 요구한 사항은 모두 개선됐죠. 이와 함께 취약점 분석 및 점검은 지속적으로 해오고 있습니다.”

기존에 10년 이상 보관하고 있던 카드신청서의 경우, 개인정보가 다량으로 포함돼 있는데, 모두 파기 처리함으로써 파기 부분도 상당히 개선됐다는 설명이다.  

“우선 일반상거래법상 물품 구매 등의 이유로 10년 이상 보관했던 6만여명의 카드신청서 원본서류 총 8655박스를 지난해 12월 모두 파기했어요. 이로 인해 1년에 3600만원의 비용절감은 물론 유출 위험도를 낮추는 효과를 봤죠. 물론 5년이 지난 DB 탈회 회원의 개인정보도 파기조치를 완료했습니다.”

하지만 카드사 사태와 별개로 카드업계는 지난해 10월 카드모집인에게 고객의 카드 이용실적을 조회할 수 있는 접근권한을 부여한 사실이 드러나 또 다시 국민들의 눈총을 받은 바 있다.

“우선 접근할 수 없도록 차단 조치는 모두 이뤄진 상태에요. 현재 책상 서랍에 개인정보가 들어있는지 등의 개인정보 보관 여부 파악 및 보안점검을 통해 교육을 강화하고 있어요. 하지만 보안문화가 정착해 보안 강화 효과를 거두려면 적어도 3년 이상 걸려요. 이 때문에 꾸준한 노력이 필요하죠. ”

게다가 최근에는 온라인쇼핑몰에서 카드 부정결제 사고가 잇따르고 있어 보안성은 갈수록 요구되고 있는 실정이다.

이러한 보안강화 요구에 맞춰 롯데카드는 보안인력을 기존 4명에서 20명으로 대폭 확충했다. 보안조직은 정보보호부문장실 아래 개인정보보호추진팀, 정보보호팀으로 구분되며, 롯데카드의 모든 서비스에 대한 보안성을 다각도로 검토하고 있다.

“롯데카드는 간편결제의 편이성과 보안성을 높이기 위해 지난 2014년부터 원클릭 서비스를 오픈했어요. 이용자가 아이디와 비밀번호로만으로 간편하게 결제를 할 수 있는 점이 특징이죠. 결제사고 예방을 위해 PC든 휴대폰이든 모든 단말기의 고유번호를 체크해요. 등록된 단말기 고유번호가 맞지 않으면 승인이 떨어지지 않도록 해 보안사고의 주요 원인이 될 수 있는 시스템 뒷단을 강화했죠.”

현재 롯데카드가 보유하고 있는 정보보호관련 인증은 ISO 27001이다. 그러나 향후 금융감독원에서 추진하는 F-ISMS 인증을 추가로 취득할 계획이다.

그동안 말도 많고 탈도 많았던 주요 카드사. 그 가운데 롯데카드는 지난 1년간 물리적, 기술적, 관리적 보안 측면에서 많은 변화가 있었다. 이제 출발이라는 최동근 CISO의 말처럼 보안의 길은 아직 멀고도 험하다. 하지만 적극적인 CISO의 모습에서 롯데카드의 보안강화 속도에 탄력이 붙고 있다는 점은 확실히 느낄 수 있었다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>