[사설]고객정보 털린 은행, 구멍난 인적통제

보험사에 이어 은행에서도 대규모 고객정보 유출사고가 일어났다. 검찰은 한국스탠다드차타드(SC)은행과 한국씨티은행에서 모두 13만여건의 고객 개인정보가 내부 직원에 의해 외부 대출모집인이나 대출중개인에게 유출된 사실을 적발하고 구속 3명을 포함해 12명을 기소했다고 어제 밝혔다.

한화손해보험과 메리츠화재 등 일부 보험회사에서 대규모 고객정보 유출사고가 일어난 적은 있으나, 은행에서 이런 사고가 발생한 것은 처음이다. 지난 6월 농협은행에서 고객정보가 담긴 고객 전표를 파쇄하지도 않고 고물상에 넘긴 일은 있었다. 그러나 SC은행과 씨티은행의 경우는 고의적인 개인정보 유출이라는 점에서 그것과 성격이 다르다. SC은행에서는 USB에 저장하는 방식으로, 씨티은행에서는 내부 전산망에서 직접 프린터로 종이에 출력하는 방식으로 정보유출이 이루어졌다. 나름대로 고도의 보안장치를 갖추었다는 은행의 전산망에 들어있는 고객 개인정보도 내부 인력에 대한 보안통제가 허술하면 얼마든지 손쉽게 유출될 수 있음이 확인된 셈이다.

뿐만 아니라 검찰은 대출모집인들에게서 압수한 USB에서 SC은행과 씨티은행 외에도 저축은행ㆍ캐피탈회사ㆍ카드회사 등에서 유출된 것으로 보이는 고객정보 300만건도 추가로 발견, 이에 대해서도 수사를 벌이고 있다고 밝혔다. 은행까지 포함한 금융권 전체를 활동무대로 하여 고객 개인정보 거래를 전문적으로 중개하는 브로커들이 활개를 치고 있다고 볼 수밖에 없다. 이들을 통해 건당 수십원 내지 수백원에 거래된 개인정보는 고율의 중개수수료를 노린 통대환대출 알선을 비롯한 불법 대출중개나 보이스피싱과 같은 사기범죄에 악용될 수 있다.

이번에 고객정보를 털린 두 은행은 외국계 은행이지만, 국내 은행이라고 해서 안심할 수 없다. 보안업계 일각에서는 국내 은행은 국산 DLP(데이터 유출 방지) 솔루션을 갖추고 있어 낫다는 얘기를 하지만, 외국계 은행도 해외 본사의 지침에 따라 그것과 비슷한 종류의 외국산 보안 시스템을 갖추고 있다. 보안대상 정보에 접근하는 내부 직원에 대한 인적 통제에 구멍이 뚫려 있다면 그 모든 것이 헛것이다. 회사별로는 물론이고 금융당국에서도 인적 보안통제를 획기적으로 강화할 방안을 시급히 찾아 실행에 옮겨야 한다.