'암호화솔루션' 무방비..'뻥' 뚤린 금융ㆍ증권 고객DB

[아시아경제 김효진 기자, 김은별 기자, 성정은 기자] 현대캐피탈 해킹사태 및 농협 전산장애 사태로 개인정보 유출에 관한 불안감이 고조되고 있는 가운데, 국민은행과 대우증권 등 일반 고객의 신상정보를 보유한 금융ㆍ증권업체 대다수가 자체 데이터베이스(DB)에 정보보호를 위한 '암호화솔루션' 장치를 구축하지 않거나 일부 정보에만 구축한 것으로 드러나 제2ㆍ제3의 해킹사태를 우려하는 목소리가 커지고 있다.

금융권이 고객의 정보를 DB의 형태로 유지ㆍ보관할 땐 1차적으로 외부인의 접근을 막는 '접근제어솔루션'을 구축하는 게 보통인데, 만일의 경우를 대비해 모든 정보를 암호화해 저장하는 암호화솔루션으로 2차 방벽을 구축할 필요가 있다는 게 전문가들의 지적이다. 암호화솔루션은 정보가 유출돼도 해독을 불가능하게 해주기 때문에 현재로선 보안성이 가장 뛰어난 '최후의 장치'로 평가받는다.

그런데도 대부분의 업체들이 비용과 DB의 처리속도가 늦어진다는 이유로 2차 방어벽에 해당하는 암호화솔루션 구축에 소홀했던 것으로 드러났다. 본지가 최근 단독 입수한 자료를 바탕으로 지난 14일부터 시중은행ㆍ저축은행ㆍ캐피털ㆍ보험ㆍ증권업계의 매출 상위 기준 주요 업체 22곳의 고객정보 DB 암호화솔루션 구축 여부를 일일이 조사한 결과 삼성생명ㆍ삼성화재ㆍ삼성카드ㆍ신한카드ㆍ현대스위스저축은행ㆍ교보생명 등 6곳 만이 고객정보 전체에 암호화 솔루션을 구축한 것으로 확인했다.

국민ㆍ우리ㆍ신한ㆍ하나은행, 대한생명, 현대해상, 동부화재, 대우증권, 우리투자증권, 한국투자증권, 솔로몬저축은행, 토마토저축은행, 알리안츠생명 등 13곳은 비밀번호와 주민번호 등 일부 정보에만 암호화솔루션을 구축한 것으로 나타났다. 고객 정보를 지키는 최후의 보루인 암호화솔루션을 아예 구축하지 않은 곳도 3곳이나 됐다. 　

그나마 일부 구축을 한 경우도 이름ㆍ주민번호ㆍ전화번호ㆍ집 주소ㆍ이메일 주소ㆍ신용정보ㆍ비밀번호 등 개인정보 가운데 주민번호와 비밀번호에만 암호화솔루션을 구축해 고객들이 민감하게 여길 나머지 정보는 전부 무방비 상태인 것으로 나타났다. 또 다른 해킹사고가 벌어질 개연성이 금융ㆍ증권업체 곳곳에 잠재돼 있는 셈이다.

상당수 업체가 고객정보 DB에 암호화솔루션을 제대로 구축하지 않은 것으로 드러나자 전문가들은 빠른 대책마련을 촉구했다. 이들은 한결같이 고객 정보를 지키기 위한 일종의 '이중 잠금장치' 설치가 제2의 해킹사태를 막는 유일한 방법이라고 입을 모았다. 대부분의 업체들이 구축한 접근제어솔루션이 '방 문'을 잠그는 장치라면 암호화솔루션은 방 안에 따로 설치된 '비밀금고'라는 얘기다.

서울의 한 컴퓨터 보안업체 관계자는 "접근제어솔루션의 경우 아무리 새로운 시스템이 나와도 해킹 기술 역시 동시에 발전하기 때문에 시간이 흐르면 뚫릴 수밖에 없다"면서 "외부에서 접근이 이뤄지는 경우에는 DB가 열려버리는 경우까지 대책을 생각해야 한다"고 말했다. 이 때 필요한 것이 고객의 정보 자체를 암호화해서 저장해 두는 기술이라는 것이다. 암호화솔루션은 정보가 유출돼도 함부로 활용하지 못하게 해주는 최후의 보루라는 설명이 이어졌다.

그럼에도 불구하고 기업들이 암호화솔루션 구축을 꺼리는 것은 구축에 많은 돈이 들고, 구축을 해도 시스템 가동 속도가 느려지기 때문이라는 것이다. 이 관계자에 따르면 모든 고객정보에 암호화솔루션을 구축하는 데 드는 돈은 대기업의 경우 10억원 안팎이 들어가는 것으로 알려졌다. 그것뿐만이 아니다. DB의 크기가 커짐에 따라 업그레이드 하는 데만도 수천만원씩 추가로 들어간다. 암호화솔루션을 구축하면 시스템 가동 속도가 적게는 20~30%, 많게는 50% 정도 떨어진다. 이 관계자는 "고객들이 인터넷 홈페이지에 수시로 접속해 개인정보를 입력한 뒤 거래를 하는 증권사들의 암호화솔루션 완전구축율이 유독 떨어지는 것도 이 때문"이라고 말했다.

개인정보 암호화에 관한 별다른 강제규정이 없는 점도 업체들이 구축에 적극 나서지 않는 이유 중 하나로 지적됐다. 현재 금융감독원의 전자금융 감독 규정에는 개인정보 암호화와 관련된 내용이 없어 접근제한 솔루션만 구축해도 별다른 제재를 받지 않는다. 금융감독 당국의 한 관계자는 이날 "전자금융감독 규정은 개인정보 암호화와 관련된 규정이 없어 처벌할 수 없는 것이 사실"이라고 밝혔다. 오는 9월30일 '개인정보보호법 개정안'이 발효되는데, 이 법률 시행령에 개인정보 암호화에 관한 내용이 포함될 지도 미지수다.

결국 당장은 정부나 금융당국의 규제를 배제한 채 업체들의 적극적인 태도를 기대해볼 수밖에 없는 상황이다. 시중은행의 한 관계자는 "시스템 속도나 성능 문제 때문에 모든 고객정보에 암호화솔루션을 구축하는 건 현실적으로 무리"라면서 "업체들이 이런 문제를 감안하고도 설치를 할 수 있도록 정부가 배려해 줄 필요가 있다"고 지적했다. 이 관계자는 또 "암호화솔루션을 완전하게 구축하는 데 드는 비용 일부를 지원해주거나 세금 혜택을 주는 것이 한 방법일 수 있다"고 설명했다.

서울의 한 증권사 관계자는 "비용도 비용이지만 시스템 속도가 느려지면 가장 큰 불만을 가질 사람은 바로 고객들"이라면서 "고객들에게 정보보호 장치의 필요성을 설득하고 속도가 느려지는 데 대한 양보를 이끌어내려면 업체들이 수수료 혜택이나 별도의 추가 혜택이라도 줘야 하는데 이 부분을 업체가 다 떠맡는 건 부담이 크다"고 말했다.