"USB 복사도 깐깐히, 현대카드·캐피탈 정보유출엔 관용 없다"

-전성학 현대카드·캐피탈 정보보안실장···미국선 핵심 행위자 20·30년형, 처벌 수위 훨씬 높여야

[아시아경제 이현주 기자] "강력한 보안정책은 절대로 톱 다운(Top-down)의 막무가내식 정책으로 이루어낼 수 없습니다. 보안 시스템, 프로세스와 같은 기술적인 보안은 물론 관리적인 세심한 절차 즉, 상시적인 임직원 의식 교육과 기업 문화가 필수적입니다. 경영진의 보안에 대한 의지는 보안정책의 힘을 배가시키는데 영향을 줍니다."

26일 서울 여의도 현대카드 본사에서 만난 전성학 현대카드·캐피탈 정보보안실장은 "고객정보는 금융사의 어떤 자산보다 중요한 가치를 지니고 있다"며 이같이 밝혔다.

전성학 실장은 정보보안 분야 '박사'다. 안철수연구소에서 8년 동안 보안 전문가로 일해 온 전 실장은 2011년 현대캐피탈 해킹 사건 이후 현대카드·캐피탈로 이직해 이곳 보안 시스템을 완전히 새롭게 바꿨다. 전 실장은 안철수연구소에서 보안제품개발을 맡은 바 있고 시큐리티대응센터장을 역임했다.

현대카드·캐피탈은 개인정보 보안을 포함한 협력업체와의 거래 투명성, 성희롱, 담합금지를 4대 무관용 원칙(Zero Tolerance Policy)으로 세웠다. '무관용'이라는 표현대로 현대카드의 정보보안에 대한 깐깐함은 타의 추종을 불허한다.

예를 들어 이동식저장장치(USB)를 이용하는 업무가 여러 부서에 필요하지만 모든 직원에 USB 사용권한을 제한하고 정보보안실에서 USB 복사 대행을 해주고 있다. 그러나 이에 대해 불편함을 제기하는 임직원이 없다. 이미 정보 보안이 하나의 문화로 자리 잡았기 때문이다. 현대카드와 캐피탈 직원들은 인터넷에 회사와 관련된 글을 쓰거나 파일을 올리는 일체의 행위를 보안위반으로 생각하고 기준을 준수하는데 솔선수범하고 있다.

전 실장은 "고객 정보, 즉 개인정보 보안에 대한 경영진의 확고한 철학과 의지로 강력한 보안정책을 운영하고 있다"며 "이러한 정책들로 직원 스스로가 보안을 지키고자 노력하고 스스로 점검과 교육을 통해 보안을 강화해나가고 있다"고 설명했다.

특히 현대카드는 협력업체에도 자사와 같은 보안정책 수준을 요구하고 있다. 협력업체들은 처음에는 불편함을 토로했지만 높은 보안 수준이 갖춰져 오히려 경쟁력이 높아졌다.

전 실장은 "한 거래처 대표는 현대카드 때문에 철저한 보안 프로그램을 실행하면서 새로운 고객사들이 믿고 거래를 맡기는 경우가 오히려 늘어 경쟁력이 생기는 등 좋은 결과를 얻었다고 말한 바 있다"고 언급했다. 이어 그는 "작은 곳에서부터 보안이라는 실천이 생활화 돼야만 모든 업무에 있어 보안을 최우선하는 가치가 실현될 수 있다"며 "이번 고객정보 유출을 교훈 삼아 모든 금융사들이 각성하고 새로운 전환점으로 삼아야 할 것"이라고 강조했다.

한편 이번 정보유출 관련 제재와 관련해 직접 행위자에 대한 처벌이 다소 약하다고 지적했다. 무조건 관리책임을 물어 사고 때마다 줄줄이 사표를 내는 것 보다 실질적인 대책이 필요하다는 주장이다.

전 실장은 "정보유출이 범죄라는 생각을 가질 수 있도록 행위자에 엄격한 처벌을 가해야 한다"며 "2005년 미국에서는 비자, 마스타 카드 정보유출범에게 20년형, 2007년 미국 유통회사 정보유출 범인에게 30년 형이 선고된 바 있다"고 말했다.



이현주 기자 ecolhj@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

이현주 기자 ecolhj@asiae.co.kr
<ⓒ아시아 대표 석간 '아시아경제' (www.newsva.co.kr) 무단전재 배포금지>