은행권, 개인정보 철통보안 변신중

고객 자산만큼이나 중요하게 떠오른 개인정보 보호를 위한 은행권의 보안 태세 강화와 점검 움직임이 일사불란하다.

일선에서 실제 고객정보를 다루는 직원들에 대한 내부통제는 물론이고 해킹방지 등 IT보안 강화 역시 함께 이뤄져야 진정한 고객정보보호가 가능하다는 인식 하에 고객정보보호 및 IT보안 관련 부서들이 하나로 묶이고, 겸직하곤 했던 최고정보책임자(CIO)와 최고정보보호책임자(CISO) 자리도 분리하고 나섰다. 카드3사 개인정보유출 사태에서 외부업체 직원이 정보를 빼돌렸던 만큼 이에 대한 관리도 정비 중이다.

◇ 전산망 분리, 사이버테러 방지
국민은행은 DDoS대응장비 등 시스템을 갖추고 수립하여 운영 중이며 외부보안전문가를 통한 DDoS 모의훈련, 인터넷뱅킹 및 내부 웹 어플리케이션 모의해킹 및 취약성 점검을 실시하고 있다. 화이트해커 양성도 검토 중이다. 시스템의 취약점을 상시적으로 자가 진단해 대응기반을 마련한다는 방침이다.

또한 업무상 필요에 의해 다운로드하는 고객정보는 PC에 별도로 설정된 암호화된 고객정보보호영역에서 관리하는 등 보안장비를 통한 보안대책 외에도 내부 직원들의 개인정보 접근을 관리하고 통제하는 ‘개인정보 유출방지시스템’에도 관심을 기울이고 있다. 지난해 11월엔 정보보호조직을 부에서 본부로 승격하고 고객정보보호 전담조직을 통합관리하여 고객정보보호 관련 내부통제 체계를 강화했다.

신한은행은 지난해 6월 논리적 망분리를 완료하며 외부 침해예방 및 고객정보 유출방지에 힘써 왔다. 또한 정보보호 전담조직 신설을 통해 고객정보보호 업무를 총괄 추진하고 금융소비자의 정보보호를 위한 고객정보보호 TF를 운영해 개선과제를 추진하는 등 상시 점검체계도 강화했다.

지난 3월에는 1만 4000여 명의 전 임직원들이 고객정보를 철저하게 보호하고 관리하는데 최선을 다한다는 ‘고객정보보호 서약서’를 작성했다. 이 서약서를 작성한 직원만 고객정보시스템에 접근해 업무를 볼 수 있다.

기업은행 권선주 은행장은 지난 1월 전국영업점장회의에서 “이제 고객정보는 고객의 재산보호 이상으로 소중하게 보호해야할 귀중한 자신임을 명심해야 한다”고 강조했다. 이어 불합리한 업무관행 개선 등 금융소비자보호 확립을 위한 ‘Clean IBK 10대 운동’에 개인정보보호 항목을 포함했다.
올 상반기 인사에선 박선 IT금융개발부장을 IT본부장이 겸임했던 CISO에 임명하며 CIO와 분리했다. IT전문 변호사도 채용해 상시적인 법률자문 등을 받고 있다. 한편 외부 보안위협을 원천적으로 제거하기 위해 기존 구축된 논리적 망분리를 올 하반기 완료를 목표로 물리적 망분리 시스템으로 변경 중이다.

우리은행은 경영감사부에서 개인정보보호 전반에 대한 검사를 진행한다. 지난달부터 고객개인정보 유출 방지 및 보안정책 강화를 위해 일반팩스 발송을 금지했고 전자팩스는 부서장 승인 후 발송해야 한다. USB에 파일을 저장하거나 외부메일 발송 등에 있어서도 부서장 승인이 필요하다. 고객정보 조회 권한에 대한 현황 관리 및 조회에 있어서도 정당성을 철저히 검사한다. 또한 현재 50명 수준인 IT보안 인력을 올해 10명 내외로 추가 채용하고 정보보호를 더욱 강화한다는 방침이다. 준법감시인을 의장으로 하는 고객정보보호협의체에서는 월 1회 이상 열어 실행과제를 선정하고 모니터링 작업을 진행한다.

◇ 전문가 초빙에 본부 신설 등 조직개편

하나은행은 카드3사 고객정보유출사태가 발생한 직후인 1월 20일 본부장 이상 모든 임원들을 대상으로 정보보호교육을 실시했다. 지난해 1월엔 CISO 주관 전산보안 관련 TF를 출범했다. 이후 준법감시인을 반장으로 주요 11개 부서장이 속한 정보보호특별대책반이 확대 출범됐다. 또한 정보반출 및 승인에 대한 절차를 강화하는 조치가 이뤄졌다.
하나은행은 향후 대출모집인 관리실태 점검 및 관리감독을 강화해 이들의 고객접촉방법과 정보취득경위를 확인할 계획이다.

외환은행은 올해 정보보호 강화를 위한 조직개편에 주력했다. IT보안 및 고객정보 관리 강화에 선도적으로 대응하기 위해 지난 2월 고객정보보호본부를 독립본부로 신설했다. 고객정보보호부와 IT정보보안부 2개 부서로 구성돼있다. 고객정보보호부는 과거 준법지원부에 속한 정보보호팀을 확대 개편한 것이고 IT정보보안부 역시 기존 IT본부 내 IT정보보안실을 편입한 것이다. 단일 조직 내에서 보다 효율적인 고객정보 보호기능을 수행할 것으로 기대된다.

농협은행은 카드정보유출과 같은 사고의 재발을 방지하기 위해 외부용역 관리 강화에 나섰다. 외부 전산기기 반입금지는 물론 외부용역의 경우 보안이 강화된 별도 공간에서 작업해야 한다. 또한 지난 3월 정보보안본부를 새롭게 출범하고 CISO에 남승우 전 신한카드 IT본부장을 선임했다.

이어 개인정보유출 재발방지 종합대책을 발표하고 관련 TF를 구성해 추진 중이다. 종합대책은 고객정보요청 서식 및 동의서 전면개정 및 고객 정보 파기기준 마련, 외주 및 제휴업체 통제강화 방안 및 점검 매뉴얼 제작 등을 주요사안으로 담고 있다.



김효원 기자 hyowon123@fntimes.com