금감원, 금융권 고객DB암호화 강제 않고 있어...은행들은 눈치만

보안전문가들 “DB접근제어와 암호화는 개인정보보호위해 서둘러야”

개인정보보호가 기업의 화두가 되고 있다. 계속되는 정보유출 사고에 방송통신위원회는 지난 4월 22일 인터넷 개인정보 유출사고에 대한 처벌을 강화하는 정보통신망법 개정을 추진하겠다고 발표한 바 있다.

특히 인터넷 회사가 보안관리를 소홀히 해 가입자의 개인정보가 대량으로 유출될 경우 회사 대표는 최고 2년의 징역형을 받고 회사 매출액의 일정비율을 과징금으로 내도록 법을 강화하겠다는 것이다.

개인정보보호, DB접근제어와 암호화는 필수!

하지만 여전히 대형 은행등 금융권 쪽은 접근제어와 내부보안 시스템은 어느정도 정비가 된 상태지만 고객들의 개인정보에 대한 DB암호화가 안되어 있어 유출시 큰 피해가 예상된다.

모 정보보호 관계자는 “현재 금융권은 DB암호화가 안되어 있다. 암호화 돼 있다고 해봐야 패스워드 정도 암호화 돼 있는 수준”이라며 “고객의 주민등록번호나 계좌번호, 카드 유효기간, 카드넘버 등은 암호화가 안된 상태로 DB에 보관돼 있는 곳이 많다”고 설명했다.

DB암호화가 돼 있지 않다면 유출시 정보가 그대로 노출되기 때문에 전문가들은 암호화가 반드시 필수적이라고 강조하고 있다.

모 금융기관 관계자도 “금융권에서 DB 접근제어와 내부통제 등은 잘 이루어져 있는 것으로 알고 있지만 DB암호화는 잘 안돼 있는 실정”이라며 “국내 DB암호화 제품이 금융권에 도입할 만한 것이 없다고 담당자들이 말하고 있다”고 밝혔다.

모 은행 관계자는 “주민등록번호등 고객정보가 암호화된 인덱스를 통해 색인검색까지 가능해야 한다”며 “또 DB암호화 작업으로 인해 버그가 발생하거나 시스템이 느려져서도 안되는 등 도입에 까다로운 점이 많다”고 말하고 있다.

또 다른 보안관계자는 “개인정보 유출 사건이 계속 터지고 있고 그 위험성이 점차 높아지고 있는데 고객의 민감한 금융정보와 개인정보를 보유하고 있는 은행이나 금융권이 고객 개인정보들을 암호화하지 않고 있는 것은 문제”라고 지적하며 “DB암호화에 대한 금감원의 강력한 강제조치가 필요할 것”이라고 말했다.

금융감독원은 현재 은행들이 DB암호화를 하지 않고 있음에도 불구하고 이에 대한 강제조치를 내리지 않고 있어 금융권의 DB암호화 도입이 늦어지고 있는 것이 아니냐는 지적도 나오고 있다. 이에 대한 금감원의 조치가 내려져야 한다고 전문가들은 입을 모으고 있다.

또 다른 보안 관계자는 “금융권 DB관리자들이 개인정보보호 보다는 운영의 논리에 빠져있다”며 “접근통제 강화와 함께 DB암호화도 서둘러 도입하는 것이 유출시 피해를 막을 수 있을 것이다. 금감원이 움직이지 않으면 대형 은행은 움직이지 않을 것”이라고 강조했다.

한편 금감원은 정보가 유출됐다 하더라도 OTP나 공인인증서 등 여러 보안인증단계가 있기 때문에 유출된 정보를 사용해 제2의 금융사고로 이러질 확률은 전혀 없다고 주장하고 있다.

하지만 보안 전문가들은 “유출된 정보로 금융사고만 일어나라는 법이 없다. 유출된 정보는 다른 형태로 고객들에게 피해를 줄 수 있다. 보이스피싱이나 인터넷 계정도용, 스팸전화와 스팸메일 등 유출된 정보는 여러 방법으로 고객을 위협할 수 있기 때문에 유출 자체가 문제가 된다”고 강조했다.

금융보안, SI업체만 믿고 있다간 죽도밥도 안돼!

또 한 관계자는 “금융권이 DB보안과 관련해 SI업체에 매달려서는 안된다”며 “SI업체는 보안보다는 운용적인 측면을 강조하는 경향이 있기 때문에 전적으로 금융권 담당자가 직접 DB보안 제품은 챙겨야 제대로 보안이 이루어 질 것”이라고 덧붙였다.

금융권은 대한민국 경제활동을 하는 대부분의 정보를 보유하고 있다. 특히 금융정보도 함께 포함돼 있기 때문에 어떤 경로로든 유출이 됐을 때 상당한 파장이 예상된다. DB접근제어와 DB암호화에 대한 철저한 보안성 검토가 필요한 시점이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>