개인정보 유출과 해킹, '협력사 단속' 주의보

[이데일리 김현아 이유미 기자] 최근 발생한 사상 최대의 금융권 개인정보 유출이 신용평가회사인 코리아크레딧뷰로(KCB) 직원의 범행으로 밝혀지면서, 금융이나 정부기관 등의 업무를 도와주는 협력업체 보안 수준을 높여야 한다는 목소리가 크다.

협력사 직원들은 개인정보를 다루는 민감한 업무에 종사하나, 본사 직원보다 보안 교육이나 사내 보안 시스템에서 자유롭다. 이번에 범행을 저지른 사람 역시 KB국민카드가 발주한 ‘카드부정사용방지시스템 고도화’ 프로젝트에 참여한 KCB의 개발담당 책임자였다.

그는 아무런 제재 없이 고객 개인정보에 접근했고, 사고가 터진 후에야 KB국민카드는 지문인식 사용자인증시스템을 구축했다.

하지만 ‘소 잃고 외양간 고치는 격’이라는 비판을 면치 못하게 됐다. KB국민카드와 롯데카드, 농협카드에서 1억 580만 건의 고객정보가 유출됐고, 피해자만 1700만 명에 달하기 때문이다.

이경호 고려대 정보보호대학원 교수는 “제1금융권은 금융감독원이 직접 감시하기 때문에 금융사고에 대비한 감독이 강하지만 민간업체인 KCB는 인력 등의 이유로 금감원이 상시로 감독하기 어렵다”며 “이번 사고를 계기로 신용평가회사들에게도 공공성을 갖도록 하고, 보다 강한 감독을 받도록 해야 한다”고 강조했다.

KB국민카드 사과문

최근들어 해킹 범행에서도 협력사 직원들이 주목받고 있다.

지난해 말 북한의 2 인자였던 장성택 처형 이후 한반도 정세가 불안정한 가운데, 원자력연구소나 한국가스공사(036460) 등 국가 기반시설에 IT 장비를 납품하는 중소기업이나 직원 PC의 취약점을 이용해 공공기관 해킹을 위한 우회 공격을 감행하는 일이 다수 적발됐다.

잦은 해킹 사고로 정부·공공기관에 대한 보안 시스템은 강화되고 있지만, 정작 장비 납품 업체 등 협력사 시스템은 허술한 것이다.

미래부 관계자는 “지난해 상반기 10건도 되지 않았던 국내 정부기관 협력 IT 기업에 대한 북한발 해킹이 지난해 하반기에는 수십 건으로 증가했다”고 말했다.

정부는 협력업체 보안대책을 강화하고 있다. 정부기관 IT시스템의 유지보수업체에 대해 원격관리 금지 및 외주인력의 출입통제 강화, USB와 노트북 등 이동매체에 대한 통제 철저 등을 요구하고 있다.

또 정부기관 등에 협력 업체의 하드웨어(H/W) 및 소프트웨어(SW)에 대한 무결성 검증 같은 보안조치와 악성코드 감염 여부를 실시간으로 점검토록 요청했다.

정부는 또 공공부문에 대한 IT시스템 사업 시 보안수준 평가를 위한 가이드라인을 만들고, 미래부 주도로 중소 IT 기업에 대한 보안기술 지원을 위한 ‘정보보호 지원센터’도 연내 2~3개 정도 구축할 예정이다. 부가통신사업자 설립 신고 시 정보보호 조치 강화를 위한 제도 개선도 추진한다.

▶ 관련기사 ◀
☞ [전문가 진단]"피싱·스미싱 등 향후 해킹 악용 가능성 있어"
☞ 이경재 위원장 "나도 농협카드 쓰는데..." 긴장 지시