[뉴스핌=전선형 기자] 카드사의 허술한 보안관리가 도마 뒤에 오르고 있습니다. 금융당국이 나서 점검과 관리강화를 주문했음에도, 해를 거르지 않고 정보유출 사고가 터지고 있기 때문이죠.

특히 최근 발생한 ‘기프트카드’(무기명 선불카드) 번호 유출 사례는 상당히 초보적인 해킹 방법으로 뚫려 고객들을 더욱 분노하게 만들었습니다. 보안번호만 알면 온라인에서 누구나 쉽게 사용할 수 있는 카드임에도 불구하고 보안번호 입력에 제한을 두지 않는 바람에, 000부터 999까지 대입하는 방식으로 허무하게 3억5000만원이 유출된 것이죠.

해킹을 당한 두 카드사들은 ‘고객의 사용편의를 위해 제한을 풀어뒀다’고 변명했지만, 이들을 제외한 곳들은 3~5번의 오류제한 횟수를 걸어뒀다는 점에서 설득력이 떨어집니다.

사고가 발생한 후, 금융권 안팎에서는 카드사의 정보보호최고책임자(CISO) 별도 선임 의무화 목소리가 흘러나오고 있습니다. 카드사에 집약되는 정보가 고객의 생활패턴, 소비생활 등을 알 수 있어 상당히 민감하다는 게 이유입니다.

금융당국은 지난 2014년 카드사 세 곳에서 1억건이 넘는 고객정보가 유출된 사고가 발생한 뒤, 총자산 10조원이상, 임직원 1000명 이상의 금융사에겐 CISO를 별도 선임토록 했습니다.

현재 국내 8개 전업계 카드사 정보최고관리책임자(CIO)와 CISO 선임 현황을 보면 자산규모가 미달하는 우리카드(총자산 7조), 하나카드(총자산 7조)를 제외하고 모두 CISO를 선임한 상황입니다.

하지만 카드업계에서 지속적으로 보안에 문제가 발생하고 있는 만큼, 자산 규모를 떠나 CISO 선임해야 한다는 게 전문가들의 중론입니다.

한 금융보안업계 관계자는 “CIO는 IT 사업을 통해 돈을 벌어야 하고 CISO는 비용을 들여서라도 보안을 유지해야하는 반대의 업무를 하고 있다”며 “때문에 겸직을 하면 경영자 관점에서 CIO에 치우칠 수 있다는 우려가 늘 존재한다”고 말했습니다.

이어 “CISO를 별도 선임한다 해서 보안이 완벽히 강화되는 것은 아니다. 실제 이번 기프트카드 정보 유출 때도 CISO를 별도 선임한 곳이 포함돼 있다”며 “하지만 민감한 정보를 다루는 카드사이니 만큼 기본적인 정보보안 관리를 위해서 별도 선임할 필요가 있다”고 전했습니다.

물론 CISO의 별도 선임이 정보유출을 막는 ‘완벽한 최선책’은 아닐 수 있습니다. 하지만 ‘최소한의 보안책’은 될 수 있다고 봅니다. 보안은 아무리 강조해도 지나치지 않으니까요.

[뉴스핌 Newspim] 전선형 기자 (intherain@newspim.com)