thinkpool

최근 금융사의 고객정보 유출사건이 잇따르고 있는 가운데 정보유출 형태가 외부 해킹에 의한 것보다는 내부통제 해이에 따른 '후진국형' 인재인 것으로 나타났다.

금융당국에 따르면 최근 발생한 국내 금융사 정보유출 주요사고 9건 가운데 2건이 해킹에 의한 것일 뿐 나머지 7건은 내부직원 및 용역직원에 의해 발생한 것으로 집계됐다.

지난 2011년 현대캐피탈과 한화손해보험이 해킹으로 컴퓨터망이 뚫리면서 각각 175만 건과 15만 건의 개인정보가 유출됐다.

↑ (사진=이미지비트 제공)

그러나 그 이후 하나SK카드와 삼성카드, 한국SCD은행, IBK캐피털, 한국씨티은행, 메리츠화재 등의 개인정보 유출 사건은 모두 내부 직원, 또는 용역직원에 의해 발생했다.

사상 최대의 고객정보 유출사건이라는 이번 신용카드사 고객정보 유출도 역시 용역직원에서 비롯됐다.

반면 선진국의 경우 내부직원의 부주의나 고의 등 인적요소에 의한 정보유출 비율은 해킹에 의한 유출보다 낮다.

매년 정보유출 피해실태를 조사해온 국제적인 정보보안업체 시만텍 조사에 따르면 지난해 미국의 정보유출 사고 주요원인으로 해킹이 41%인 반면 인적요소는 33%에 그쳤다. 프랑스는 해킹이 42%, 인적요소 31%였으며 일본은 해킹 42%, 인적요소 35%였다. 선진국으로 일컬어지는 나라에서 해킹 피해는 40%대, 인적요소는 30%대의 비율을 보인 셈이다.

반면 '비선진국'인 브라질은 해킹이 23%, 인적요소가 42%를 차지해 대조를 보였다. 인도 역시 해킹이 25%였으나 인적요소도 29%에 이르렀다.

이와 관련해 금융보안연구원 관계자는 "인터넷이 발전한 곳에 해킹위협이 집중되기 마련인데도 IT강국인 한국에서는 정보유출 사고의 원인이 해킹보다는 내부에 집중돼 있다"고 밝혔다.

연구원은 "지난 2007년과 2009년 발생한 국가 주요기관 DDOS공격과 2011년, 2013년 발생한 은행 시스템 파괴 시도 등 외부 해킹에 의한 피해가 발생하면서 상대적으로 외부 공격에 대한 보안 대책 및 방어시스템은 잘 구축되어 있으나, 신뢰할 수 있는 내부자 및 외주 업체 직원에 의한 정보유출에 대비한 내부통제는 미비했던 것으로 보인다"고 평가했다.

이어 "내부통제에 대한 실효성 있는 대책 마련과 모니터링 활동 및 상시적인 내부 감사 프로세스를 확립하고 외주 주문업체에 대한 보안성 확보 방안 마련 등이 필요하다"고 지적했다.