금융 사이버 보안은 ▲정보보호 거버넌스와 CISO 권한 강화 ▲주기적인 정보보호 교육과 훈련 시행 ▲신기술을 활용한 개인정보보호 체계 구축 등이 중요하지만, 무엇보다 구성원 인식 개선 뒷받침돼야한다는 의견이 나왔다.

<BI코리아>는 우리금융경영연구소 및 우리은행의 협조를 얻어 ‘우리리서치 플러스 8월호’ 중 ‘창과 방패의 싸움, 사이버 위협으로부터 고객의 정보를 사수하라!(부제 : 데이터 산업 활성화에 따른 국내외 정보보호 동향과 대응 방안)’ 제하의 연구보고서를 정리해 봤다.<편집자주>

디지털 기술의 발전, 데이터3법과 전자금융거래법 등의 개정을 통한 규제 완화 조치로 오픈뱅킹, 마이데이터 같은 신규 비즈니스가 활성화하고 있다.

금융회사와 핀테크 기업은 고객 데이터 기반의 신규 상품과 서비스 개발이 쉬워졌다.

개인정보와 거래정보를 제공, 맞춤형 상품 추천, 자산관리 등 고객 측면에서는 초개인화 서비스 이용이 가능해졌다.

이처럼 데이터 기반의 디지털 트랜스포메이션이 빠르게 진행됨에 따라 금융소비자의 편의성은 개선됐다.

반면, 외부 악성 공격, 금융회사 내·외부직원의 악의적 행위 등으로 인한 개인정보 유출 사고가 증가하면서 고객의 우려도 함께 커지고 있다.

외부 악성 공격으로 인한 개인정보 유출 사고는 미국의 신용정보업체 에퀴팩스(Equifax)의 사례가 대표적.

2017년 3월, 에퀴팩스는 외부해킹으로 인해 약 1억 4400만명의 개인정보를 도난당했다.

이 사고로 에퀴팩스의 경영진은 퇴진했고 보안시스템 개선에 14억 달러(한화 약 1조 6317억원), 피해보상과 벌금으로 13억 8000만 달러(한화 약 1조 6083억원)의 비용이 발생했다.

한편, 국내에서도 2014년 주요 카드사에서 1억 건이 넘는 개인정보가 유출되는 사고가 발생했다. 

외주업체 직원의 불법 행위가 원인이었다.

개인정보 유출을 막지 못한 카드사는 금융 당국으로부터 3개월간의 영업정지와 최대 1500만원의 벌금을 부과받았다.

이처럼 개인정보보호에 실패한 회사들은 벌금과 브랜드이미지 실추에 따른 고객 이탈 등 막대한 피해가 발생한다.

글로벌 IT 기업 IBM은 기업의 데이터 침해 사고 중 80%는 고객의 개인정보 노출 사고라고 밝히고, 기업당 평균 피해액은 386만 달러(한화 약 46억원)에 이르는 것으로 추산했다.

점차 늘어나는 사이버 위협으로부터 개인정보를 보호하기 위해 우리나라를 비롯한 주요국은 개인정보를 다루는 기업에 엄격한 정보보호 규제를 적용한다.

국내에서는 전자금융거래법 개정을 통해 금융회사에 개인정보보호 관련 거버넌스 강화를 명시하고 있다.

구체적으로 ▲정보보호 최고책임자(Chief Information Security Officer;CISO)의 권한 강화 ▲이사회 책임 강화 ▲전사적 개인정보보호 체계 구축 등이다.

EU와 일본도 각각 GDPR(General Data Protection Regulation), 개인정보보호법 등의 법안에서 개인정보 이용 규제를 완화하되 개인정보 유출 발생 시 기업에 징벌적 과징금과 제재를 부과한다.

정보보호를 위한 금융회사의 대응 방안 글로벌 선도은행은 사이버 위협으로부터 고객 정보를 보호하고 규제 준수를 통해 피해를 예방하고 있다.

이들 은행의 대응 방향은 3가지.

① 정보보호 거버넌스와 CISO 권한 강화 ② 주기적인 정보보호 교육과 훈련 시행 ③ 신기술을 활용해 개인정보보호 체계 구축이다.

① 정보보호 거버넌스와 CISO 권한 강화 

정보보호 전문가를 CISO로 선임해 이사회 수준의 지위와 책임을 부여하고 중장기 관점에서 정보보호 전략을 추진할 수 있는 환경을 조성할 필요가 있다.

이사회에서 정보보호 관련 안건을 정기적으로 논의함으로써 경영진이 주요 사항을 숙지하고, 일상적 업무부터 고도의 의사결정까지 전사적 관점에서 정보보호를 고려해야 하기 때문이다.

씨티은행과 산탄데르은행은 진출 국가별로 CISO를 선임해 정보보호위원회를 구성·운영토록 하고, 정보보호를 최상위 안건으로 상정한다.

HSBC도 국가별로 정보보호위원회를 두고 있으나 인력운영의 효율성을 위해 법령상 CISO 지정을 의무화하는 국가에만 선임한다.

② 주기적인 정보보호 교육과 훈련 시행

구성원들이 정보보호에 대한 중요성을 인지하고 상황 발생 시 효과적인 대응 체계를 구축하기 위해 정보보호 교육과 훈련을 정례화할 필요가 있다.

씨티은행은 임직원 채용 시점부터 모행의 정보보호 교육과 함께 본인이 근무하는 진출국의 교육까지 이수토록 하고, 임직원의 교육 이수 현황을 주기적으로 보고하도록 의무화하고 있다.

산탄데르은행은 임직원별 역할과 직급에 따라 콘텐츠를 차별화해 연 1회 온라인으로 정보보호 교육을 진행하며, 교육 이수 현황을 완료자와 미완료자로 구분해 기록하고 있다.

③ 신기술을 활용한 개인정보보호 체계 구축

해킹 등의 외부 공격이 정교화됨에 따라 AI, 빅데이터, 암호화 기술, 위·변조 방지 기술 등 개인정보 유출을 방지할 수 있는 정보보호 관련 첨단보안기술 도입을 확대할 필요가 있다.

대표적인 사례로 BBVA는 구글 클라우드의 보안 분석 플랫폼인 ‘크로니클(Chronicle)’을 활용해 AI와 머신러닝 기술 기반의 사이버 공격을 예측하고 예방할 수 있는 체계를 구축, 개인정보 침해에 대비하고 있다.

◆“구성원들의 인식 개선이 뒷받침이 필요하다”

최근 국내 금융회사도 고객의 개인정보보호에 대한 중요성을 인식하고 있다.

법령에 명시되어 있는 시간 이상으로 임직원을 대상으로 개인정보보호 교육을 시행하고 있으며 CEO가 직접 주관해 모의 훈련을 진행하는 등 능동적으로 보안에 대해 대비 태세를 갖추고 있다. 

정보보호는 ‘나 하나쯤이야’라는 안일한 생각에서 문제가 발생한다.

특히, 정보보호 거버넌스를 갖추고 교육과 훈련도 열심히 하고, 신기술을 적극적으로 도입한다고 하더라도 정보보호에 대한 구성원의 인식이 뒷받침되지 않는다면 공염불에 불과하다.

날카로운 창을 들고 위협을 가하는 익명의 해커로부터 튼튼한 방패를 가지고 고객의 소중한 정보를 보호해야 하는 것이 금융회사의 중요한 의무이고 지속 가능한 성장 가능 여부를 판가름하는 열쇠가 될 것이다.

<글 = 우리금융경영연구소 디지털금융연구실 주성철 책임연구원 scju@wfri.re.kr, 정리 = 김동기 기자>kdk@bikorea.net