기업 및 공공기관이 개인정보 암호화 적용 혹은 이에 준하는 조치를 취해야 하는 시한이 3개월 앞으로 다가왔다. 그러나 금융업계에서는 여전히 어떤 조치를 어떻게 적용해야할지 혼선을 빚고 있다.
26일 행정안전부와 금융업계 및 보안업계 관계자들에 따르면 금융사들은 데이터베이스(DB) 암호화를 적용하자니 업무가 지연되고, 그냥 있자니 금융당국의 감시가 부담스러워 눈치만 보고 있는 상황이다. 법 시행 1년이 넘은 시점에서 일부 보험회사가 DB암호화를 적용했으나 제1금융권에서는 검토만 하고 있을 뿐 도입사례는 확인되지 않았다.
지난 몇 년간 옥션, 현대캐피탈, SK커뮤니케이션즈 등에 대형 개인정보 침해사고가 발생하면서 작년 9월 개인정보보호법이 제정됐다. 이에 따라 개인정보를 다루는 금융기업들 역시 오는 12월 31일까지 개인정보에 대한 개인정보에 대한 암호화 기술 또는 이에 상응하는 조치를 완료해야 한다.
개인정보보호법 제29조 및 개인정보의 안전성 확보조치 기준 제7조 5항에 따라 개인정보처리자는 내부망에 고유식별정보를 저장할 경우 위험도 분석 결과에 따라 암호화 적용여부 및 적용범위를 정해 시행해야 한다. 이는 곧 금융사가 주민등록번호 등을 저장하고 관리하기 위해서는 DB암호화 기술을 적용하거나 이에 준하는 대비책을 이행하고 있다는 점을 증명해야한다는 뜻이다.
이를 준수하지 않았다는 평가를 받은 기업들은 3천만원 이하 과태료를 내야하며, 해당기업들에게서 개인정보유출사고가 발생했을 때 책임자에게 2년 이상 징역, 1천만원 이하 벌금이 부과된다.■금융사, 왜 혼선 오나?
금융사들이 이 같은 준수사항 이행을 주저하는 이유는 내부망에 대한 DB암호화가 단순히 솔루션 도입으로 해결되지 않기 때문이다.
제1금융권 소식에 정통한 한 업계 관계자는 금융기업들이 내부망에 DB암호화를 적용하는 일은 기존에 사용하던 소스코드를 모두 갈아 엎고, 관리인력을 새로 뽑아야 하는 사업이라며 차세대 사업을 새로 추진하는 것과 맞먹는 비용과 작업이 필요하다고 밝혔다.
고객정보나 금융정보에 암호화를 적용하는 과정에서 솔루션 도입비용은 5% 남짓한 수준이며, 3천억~4천억원 수준의 비용이 소모되는 장기 프로젝트라 선뜻 나서는 금융기업들이 없는 실정이다.
금융보안연구원 성재모 본부장도 이에 동의했다. 성 본부장은 규모가 큰 금융기업의 경우 DB암호화에 그치지 않고 이와 연결된 고객관리시스템(CRM) 등 그동안 쌓아놓은 정보들을 모두 관리해야하는 문제가 발생한다고 밝혔다.
더구나 은행, 증권사 등 실시간으로 빠른 업무처리가 필요한 곳에서 DB암호화는 곧 업무처리속도 저하로 이어진다는 점도 꾸준히 지적돼왔다.
■암호화 도입여부 놓고 의견 분분
일각에서는 금융사들이 주로 사용하는 IBM과 HP의 메인프레임에 DB암호화를 적용하는 방식을 검토하는 방식도 고려하고 있는 것으로 알려졌다. 지금까지 나온 DB암호화 방식 중에 DB 검색속도가 가장 빠르다는 평가가 나오고 있기 때문이다. 오라클DB를 쓰는 경우에는 자체적으로 DB를 암호화할 수 있는 'TDE방식'도 검토 중이다.
그러나 이들은 보안관련 제품에 대한 국정원 CC인증을 받지 않아 국내 금융기업에서는 사용하기 어렵다. 또 이러한 방식의 암호화를 적용하면 한글로 저장된 정보들은 제대로 검색되지 않는 문제가 발생하기도 한다.
이 때문에 금융사들은 되도록이면 DB암호화 대신 그에 상응하는 조치를 취하는 방향으로 의견이 모아지고 있다. 인터넷으로 연결된 외부망과 인터넷과 내부망 사이를 중간지점(DMZ)에 주민등록번호 등 고유식별정보를 저장하려면 무조건 암호화 처리를 해야한다. 다만 상대적으로 안전하다고 평가받는 내부망 자체에는 암호화 적용여부가 선택사항으로 남는다.
■암호화 대체 조치 기준 모호
문제는 DB암호화를 대체하는 조치가 '코에 걸면 코걸이, 귀에 걸면 귀걸이'나 다름없다는 점이다. 지난 4월 고시된 위험도 분석기준에서 제시하는 26가지 보호조치 기준 중 하나라도 '아니오'라고 답할 경우는 DB암호화를 적용해야한다.
그러나 점검항목이 비인가자의 DB접근을 통제하고 있나?, DB 및 DB접속 애플리케이션 서버에 대한 물리적 접근을 인가된 자로 한정하고 있나? 등 예/아니오로 판단하기에는 모호한 규정들로 이뤄져있다.
관련기사
- 금융위, 금융권 개인정보 수집실태 전수조사2012.09.26
- 못 미더운 금융권 보안...영업점은 구멍?2012.09.26
- 정부 및 금융기관 사칭 피싱사이트 기승2012.09.26
- 금융권, 보안 솔루션 도입만이 해결책?2012.09.26
구태언 테크앤로법률사무소 대표 변호사는 보호조치 기준은 새로운 서비스를 따로 구축하는 것이 아니라 관리적인 조치에 해당한다며 기존에 금융기업들이 이미 해오고 있는 사항이 대부분이고, 구현 자체가 크게 어려운 일은 아니다라고 밝혔다. 다만 금융기업들은 최근들어 보안컨설팅 사업을 통해 암호화에 상응하는 조치를 취했다는 점을 인증받으려는 시도가 이어지고 있다고 구 변호사는 덧붙였다.
이와 관련해 행정안전부는 이달 중으로 기존에 고시했던 개인정보 암호화 방침에 대한 가이드라인을 발표할 예정이다. 행정안전부 차건상 개인정보보호 전문위원은 가이드라인을 통해 금융기업들에게 보다 구체적인 적용방법을 설명할 계획이라고 말했다.
