preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

암호 쓰는 금융사, 3000개 중 47곳뿐


3000개가 넘는 금융회사 중 주민등록번호를 암호화한 곳이 47곳에 불과한 것으로 나타났다. 은행은 전북은행 한 곳뿐이다. 카드사 고객정보 유출 사태 이후 금융당국과 금융사 모두 개인정보 보호 강화를 외치고 있지만 갈 길이 한참 멀다. 개인정보를 암호화하면 해커나 내부직원이 데이터를 빼내더라도 판독할 수 없다. 개인정보 보호의 1차 빗장인 셈이다. 하지만 금융사는 돈이 많이 든다며 투자를 꺼린다. 당국도 이런 금융권을 감싸며 의무적 암호화를 차일피일 미루고 있다.

 금융감독원은 지난해 11월 은행·증권·보험·카드사 등 주요 금융기관 100여 곳의 암호화 실태를 조사했다. 주민번호와 같은 개인식별번호를 원본 데이터베이스(DB)에 암호화해 저장해뒀는지를 들여다봤다. 조사 결과 교보·대신·삼성·미래에셋·한국투자증권 등 증권사 19곳, 신한·삼성·한화·ING·KDB생명보험 등 보험사 21곳이 암호화를 하고 있었던 것으로 6일 확인됐다. 카드사는 6곳이었다. 이에 비해 4대 금융지주를 포함한 은행권은 주민번호 암호화를 사실상 포기하고 있었다.

 금감원은 전체 금융사 중 고객정보 암호화 가능성과 필요성이 높은 대형사를 선정해 조사했다. 조사에서 빠진 곳은 거의 모두 암호화를 안 하고 있다는 얘기다. 금감원 관계자는 “법적으로 암호화를 하거나 암호화에 상응하는 조치를 선택할 수 있기 때문에 조사 대상이 아닌 소형사들은 거의 암호화를 하고 있지 않다고 볼 수 있다”며 “조사 자체가 개인정보 암호화에 부담을 가지라는 의미였다”고 전했다.

 금융권이 암호화에 무관심한 것은 돈과 시간이 들기 때문이다. 정보를 암호화하면 거래나 조회 때 이를 풀고 다시 묶는 과정을 거쳐야 한다. 지금보다 번거롭고 시간이 많이 걸린다. 시중은행 관계자는 “은행은 밤 시간에 관련 데이터를 찾아 계좌정리, 자동이체와 같은 전산 작업을 해야 하기 때문에 암호화가 업무 효율을 크게 떨어뜨린다”고 말했다. 이를 피하려면 투자가 불가피하다. 소프트웨어와 서버, 네트워크를 대대적으로 개선하는 데 짧게는 6~7개월, 길게는 3년의 시간과 막대한 돈이 들어간다.

 2800만 고객을 가진 국민은행이 2011년 5개 전산개발업체에 암호화에 들어가는 비용을 추정토록 해보니 최소 1000억원이 든다는 결론이 나왔다. 프로그램 라이선스비, 서버·네트워크 증설비, 인건비 등 모든 비용을 합한 금액이다. 고객 수 185만 명인 전북은행은 2012년 2월부터 1년 반 동안 개인식별정보 암호화를 포함한 차세대 시스템 구축에 500억원가량을 썼다. 한 대형은행의 보안 최고관리자는 “비용과 효율을 생각했을 때 기본 DB까지 암호를 걸어둘 필요가 없다. 암호화를 안 해도 비인가적 접근을 못하게 하고 내려받을 때 암호화를 한다면 암호화와 같은 효과가 있다”고 주장했다.

 암호화를 안 하는 게 법 위반도 아니다. 개인정보보호법은 기업이 가진 개인의 고유식별정보(주민번호)를 내부망에 저장할 때 암호화하거나 암호화와 유사한 효과가 있는 조치를 선택할 수 있게 했다. 금융사를 규제하는 신용정보법과 시행령에서는 암호화에 준하는 절차를 밟게 했다. DB에서 고객정보를 추출해 문서로 활용할 때 암호를 걸도록 하고 정보의 취급·조회 권한을 직급별·업무별로 차등해 부여하는 등 복잡한 승인 절차를 두게 한 것이다.

 금융당국도 암호화를 꺼리는 금융권을 감쌌다. 정보유출 사건이 터지면 엄벌과 재발 방지를 얘기하다가 조용해지면 슬그머니 없던 일로 묻어뒀다. 2011년 현대캐피탈 고객정보 해킹 사건이 터지자 금융 당국은 개인식별정보 변환, 고객정보 암호화가 포함된 모범규준을 발표했다. 하지만 금융사들이 시스템 확충 비용이 많이 들고 업무 효율이 떨어진다고 주장하자 암호화를 밀어붙이지 않았다.

데이터 유출 때 최후 보호막

보안업계 관계자는 “DB 암호화가 만병통치약은 아니지만 보안 단계로 보면 가장 마지막 방어선”이라며 “암호화가 잘돼 있으면 정보가 나갔을 때 유통되기 어렵다”고 말했다. 주민번호가 유출되면 이를 ‘키(key)’값처럼 활용해 DB상의 다른 정보를 확인하거나 이미 불법적으로 유통되고 있는 정보와 붙여 재가공할 수 있기 때문이다.

 금융사 말만큼 돈이 들지 않는다는 지적도 나온다. 고객 수가 많고, 실시간 거래가 잦은 대형증권사도 10억원 정도 수준에서 암호화시스템을 마련했다는 것이다. 보안업계 관계자는 “1000억원까지 비용이 든다는 것은 암호화로 정보량이 많아져 서버와 네트워크를 통째로 교체할 때 얘기”라며 “우리가 작업했던 증권사 중에서 서버까지 증설했던 곳은 없었다”고 말했다. 또 다른 관계자도 “효율이 좋은 프로그램을 사용한다면 네트워크나 서버가 추가로 필요하지 않다”고 주장했다.

 연세대 법학전문대학원 김종철(헌법학) 교수는 “기본적으로 모든 회사나 기관이 같은 주민번호로 고객을 식별한다는 것 자체가 문제”라며 “전체적으로 시스템을 바꿔 각각의 고객번호를 부여해 관리하게 하는 등 충분히 대안을 마련할 수 있을 것”이라고 지적했다.

박유미·이한길 기자

◆주민번호 암호화=13자리 숫자로 된 주민번호를 영문이나 숫자·기호 같은 것으로 바꿔 저장하는 것. 암호를 풀려면 별도의 프로그램과 해독코드가 필요해 데이터 자체로는 쓸모가 없다.
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.