인터파크 개인정보 유출…'고삐 죄는' 카드사

김해원 기자
입력 2016.08.02 16:21
수정 2016.08.03 10:46

CIO, CISO 독립운영, 국내·국제표준보안인증서 채택 등 보안 강화

카드사들인 인터파크 개인정보 유출사고에 더욱 보안에 신경쓰고 있다. ⓒ데일리안

개인정보 유출에 뼈아픈 경험이 있는 카드사들이 인터파크 개인정보 유출 사고 이후 또 한번 고삐를 바짝 조이고 있다.

2일 카드업계에 따르면 앞서 대규모 개인정보유출 사고를 겪은 카드사들이 최근 인터파크 정보유출 사고로 인해 다시 한번 보안 시스템을 점검하고 나섰다. 특히 실물 카드가 모바일앱으로 옮겨가고 있을 뿐만 아니라 사물인터넷(IOT)도입도 활발해지면서 보안 관리에 더욱 각별한 신경을 써야하는 상황이다.

최고정보관리책임자(CIO)와 정보보호최고책임자(CISO)를 겸직으로 운영해 논란을 빚었던 카드사들도 각각 독립 운영으로 변경했다. 지난해 전자금융거래법이 개정되면서 총자산 10조원 이상, 종업원수 1000명이 넘는 카드사들의 CIO, CISO 겸직이 금지됐다.

CIO는 정보화시스템과 사업을 CISO는 정보보안을 담담하기 때문에 겸직할 경우 각각 이해관계가 상충될 수 있다는 지적을 받아왔다. 특히 보안 위험을 책임지면서 방어적인 역할을 하는 CISO보다 정보 기술의 확장과 신사업 구상을 주로 하는 CIO의 의견에 무게가 실릴 수 있다는 우려가 나왔다.

한 카드사 관계자는 "업무 균형이 어려운 CIO와 CISO를 한 사람이 겸직하게 되면 경계가 더욱 모호해질 수 있어 독립했다"고 말했다.

또한 카드사들은 다양한 보안 기준 인증에도 나서고 있다. 국내 기준으로는 지난 2002년 미래창조과학부가 맡던 ISMS(정보보호 관리체계)를 금융보안원이 넘겨 받아 인증하고 있다.

현재 은행과 증권사, 카드사 등 27개 금융사가 ISMS를 인증하고 있다. 한 카드사 관계자는 "ISMS는 기존에 은행과 증권사만 인증받는 분위기가 있었지만 최근에는 카드사도 ISMS인증을 받고 있다"며 "보안 기준이라는 게 완벽이 없기 때문에 금융사 규모만 허락한다면 여러 인증체계를 통해 신뢰를 얻고자 하는 것"이라고 말했다.

다만 일반 회사가 아닌 금융사의 경우는 다양한 보안 기준을 마련해 실시하고 있어 금융보안원이 인증하는 ISMS도 자율규제로 바뀌는 추세다. 국내 보안 인증 기준에 중복된 부분이 많고 금융사의 경우 국제표준보안인증(PCI DSS)을 요구받는 경우가 많다는 지적 때문이다.

금융보안원 관계자는 "이미 보안 기준을 채택한 금융회사의 경우 이중 규제가 될 수 있어 자율적으로 채택하려는 것"이라고 말했다. 정부는 현재 운영되는 보안 인증 제도가 유사하거나 분산된 경우가 많아 2017년까지 기존 139개의 인증 제도를 41개로 감축하기로 했다.

아울러 인증기준도 국가표준(KS)와 일치 시키고 인증심사 절차를 간소화할 예정이다. 진입장벽이 높아 인증심사를 얻지 못하는 기업을 위해서 인증 심사 절차와 비용을 간소화 해야 한다는 의견이 많기 때문이다.

국내에도 다양한 인증 제도가 있는 가운데 최근 카드사는 해외 보안기준까지 따라야 할 것으로 보여 고민이 깊다. 글로벌 신용카드 브랜드인 비자카드는 최근 국내 카드사에 국제표준 보안인증시스템(PCI DSS)을 요구하고 있다. PIC DSS 인증을 획득하지 못할 경우는 비자카드 수수료를 인상하고 향후에는 브랜드 사용 협의도 파기하는 방법까지 논의하고 있다.

한 카드사 관계자는 "현재 국내 인증 기준도 겹치는 것이 많은데 국제 표준보안인증까지 할 필요가 있는지 고민하고 있다"며 "대부분 내용은 겹치지만 진입장벽은 까다로운 편"이라고 밝혔다.

또 다른 관계자는 "보안이라는 것이 평소 잘해도 티가 나지 않지만 한번 실수해버리면 신뢰를 잃게 된다"며 "평소에 보안에 신경 쓰고 긴장하지 않으면 언제든 개인정보유출사고가 일어날 수 있다는 위기감이 있다"고 말했다.

김해원 기자 (lemir0505@dailian.co.kr)

기사 모아 보기 >

인터파크 개인정보 유출…'고삐 죄는' 카드사

댓글 0