2014년 기술적·관리적·물리적 보안개선사항 월별로 체크해보니...  
[보안뉴스 김경애] 7일로 카드사 사태 1주년이 됐다. 1년간 사건이 발생했던 KB국민카드, 롯데카드, NH농협 카드 등 3개 카드사도 시스템 구축 개선과 함께 인력보강, 예산 확대 등 적지 않은 변화가 있었다. 물론 아직 개선해야 할 숙제도 적지 않다. 하지만 100% 완벽할 수 없는 정보보호에 있어 그간의 노력은 주목할 만하다.

이에 본지는 지난 1년간 KB국민카드에서 이용자의 정보보호를 위해 어떤 측면을 개선했고, 어떤 활동을 펼쳤는지 집중 점검해 봤다.
 
# 2014년 1월: 정보보안 예산 확대 및 클라우드 환경 전환
정보보안 예산 확대_  KB국민카드에서 가장 먼저 추진한 사항은 정보보호 예산 투자를 대폭 확대했다는 점이다. 2014년 정보보안과 관련된 예산이 2013년보다 5배 가량 확충됐다는 게 KB국민카드 측의 설명이다. 이와 관련 KB국민카드 관계자는 “1년간 많은 부분이 개선됐으며, 앞으로도 정보보호를 위해 추진할 사항이 많다”며 “지난해 200~300억원 규모가 지출되는 등 정보보호 강화를 위해 열심히 노력하고 있다”고 말했다.
클라우드 환경 전환 및 지문인증 도입_  이렇게 확대된 예산은 정보보호를 위해 지난해 1월 외주 인력에 대한 PC환경을 클라우드 환경으로 전환하고 지문 인증을 도입했다. 이 외에도 추가적으로 OTP(One Time Passowrd) 인증체제 강화, 무선침입방지 시스템 구축 등이 이뤄졌으며, 올해에는 테스트 데이터 변환, 모니터링 시스템도 도입할 예정이다.
# 2014년 3월: ‘종합대응 TFT’ 가동 및 조직개편
종합대응 TFT 가동_  KB국민카드는 사고 재발 방지를 위해 지난 3월부터 ‘종합대응 TFT’를 가동 중에 있으며, ‘금융분야 개인정보 유출 재발방지 종합대책’ 관련 후속조치로 각종 대책을 마련했거나 현재 추진하고 있다.

이와 관련 KB국민카드 관계자는 “지난 3월부터 가동중인 ‘종합대응 TFT’를 중심으 제도와 업무처리 절차를 개선하는 등 고객정보보호 강화를 위한 노력을 하고 있다”며 “고객정보보호를 최우선 가치로 삼아 고객으로부터 신뢰 받고, 고객정보 보호도 탄탄한 회사로 거듭날 수 있도록 노력하겠다”고 다짐했다.

조직개편_  2014년 3월 24일에는 KB국민카드 김덕수 신임 대표이사가 취임했으며, 3월에는 조직개편이 단행됐다. 정보보호관련 조직은 기존 1부서 2팀 체제에서 독립된 정보보호본부 신설 산하로 1부서 3팀 체제로 개편됐으며, 정보보호 인력은 기존 10명(정규직 기준)에서 두 배 가까이 증원됐다.

# 2014년 7월: OTP 인증체계 강화 및 개인신용정보 파기
지난해 7월에는 OTP 인증체계 강화와 개인신용정보 파기가 진행됐다. 먼저 OTP를 통해 사용자 인증체계를 강화하고, 저장장치 없이 모니터만 존재하는 ‘제로 PC’를 개발환경에 도입해 보안을 한층 강화했다. 또한, 거래종료 후 5년 경과 고객의 경우 개인식별정보 등 개인신용정보를 파기했다는 게 KB국민카드 측의 설명이다.

# 2014년 8월: 인사단행 및 홈페이지 인증체계 변경
지난해 8월에는 인사 단행과 홈페이지 인증체계가 변경됐다. 임원 인사에서는 이광일 상무가 정보보호본부 담당 전임 CISO로 선임됐으며, 홈페이지 인증체계 변경은 기존 주민번호인증 체계에서 아이디와 패스워드 또는 공인인증서 패스워드를 사용하도록 했다.

# 2014년 9월: 해외 온라인 안전결제 서비스·ARS 변경 등 도입
해외 온라인 안전결제 서비스_ 해외 온라인 안전결제 서비스와 ARS도 변경됐다. KB국민카드는 2014년 9월부터 해외 온라인 안전결제(SecurePay) 서비스를 시행했다. 이 서비스는 마스터카드와 함께 해외 온라인 가맹점 이용시 실제 카드번호가 아닌 가상의 카드번호와 유효기간으로 결제가 이뤄진다.

특히, 해외 온라인 가맹점에서 카드 결제시 해당 가맹점에 실제 카드번호가 아닌 가상의 카드번호가 제공되며, 가상의 카드번호는 사전에 이용자가 설정한 이용횟수와 월이용금액 제한, 유효기간이 경과되면 사용이 불가능한 것이 특징이다. 이는 이용자가 1회 결제, 직접 설정 등 3가지 방식 중에서 선택해 만들 수 있으며, 가상 카드번호는 사전에 설정한 유효기간 전이라도 폐기가 가능하다. 또한, 카드 도난 분실, 재발급, 해지 등으로 실제 카드의 사용이 제한될 경우 가상 카드번호 사용은 불가능하다.

ARS 변경 시행_  또한, 지난해 9월부터는 ARS에도 비대면 영업채널에서 고객확인 프로세스를 변경하기 위해 기존 주민번호에서 생년월일+발신핸드폰번호를 누르도록 변경됐다.

개인정보 열람청구 시행_  본인정보 이용·제공 조회시스템을 구축했다. 이에 따라 이용자는 정보주체의 권리 보장 일환으로 고객정보 이용 및 제공 현황 조회를 통해 자신의 정보가 어디에 이용 및 제공되고 있는지 열람할 수 있다. 이러한 열람청구는 지난해 9월부터 시행됐으며, KB국민카드 홈페이지->서비스->기타서비스->신용정보서비스->고객정보 이용 및 제공 현황조회를 통해 확인할 수 있다.

# 2014년 11월: 마케팅 목적의 내부이용 현황 확인 
지난해 11월부터는 본인정보 이용·제공 조회시스템 구축을 통해 마케팅 목적의 내부이용 현황 및 제3자 제공 현황에 대해서도 확인할 수 있도록 했다.

# 2014년 12월: 가맹점 IC카드 거래 시범 운영, 주민번호 기재란 삭제 등
가맹점 IC카드 거래 시범 운영_ KB국민카드는 IC(직접회로, Intergrated Circuit) 카드 거래 확산을 위해 지난해 12월부터 올해 1월말까지 KB국민카드 본사 및 25개 영업점 인근의 일반 가맹점 300여개를 대상으로 IC카드 거래를 시범 운영한다. IC카드는 기존 카드 뒷면의 마그네틱선을 긁는 방식 대신 카드 겉면의 네모난 금색 전자칩을 IC 단말기에 삽입하는 형태의 거래 방식이다. 이와 관련 KB국민카드 관계자는 “IC카드 거래의 조기 정착을 위해 IC카드 거래 대상 가맹점을 단계적으로 확대하고 가맹점과 고객에 대한 홍보 활동도 강화해 나갈 계획”이라고 밝혔다.



주민번호 대신 고객대체번호 사용_ 주민번호 수집·노출을 최소화하기 위해 가입신청서 등 각종 제서식에 주민번호 기재란을 삭제하고, 지난해 12월 29일부터는 회원가입 신청서 작성시 고객별로 부여되는 객대체번호 또는 고객정보번호를 주민번호 대신 기재하도록 개선됐다.  

개인신용정보 파기_  거래종료 고객의 경우 매주 부가 신상정보 및 마케팅 목적의 정보를 지난해 12월 파기했다.

이외에도 물리적 보안도 한층 강화됐다. 전산센터 X-ray 검색대 및 금속탐지기 설치 등 출입통제가 강화됐으며, 내·외부 직원을 대상으로 보안정책 준수여부에 대해 모니터링을 강화하고 있다.

# 2015년 시행 예정사항 및 향후 개선방안
올해에도 접근권한 통제 및 내부 전문인력 양성 등의 정책을 시행하거나 추진할 예정이다. 
접근권한 통제_ 거래종료 고객정보에 대해서는 고객정보 조회 제한, 접근권한 통제를 올해 1분기 중 시행할 예정이다.

내부 전문인력 양성_ 2015년 2분기 내 정보보호 인식 제고를 위한 전직원 대상 정보보호 집합교육을 실시할 예정이다. 정보보호 교육은 1300여명의 임직원을 대상으로 8시간씩 총 10,400시간을 진행한다. 또한, 정보보호업무 수행 직원을 대상으로 단기 정보보호전문가 과정을 추진할 방침이다. 아울러 정보보호 최고 전문인력 양성을 위한 정보보호대학원 석사과정에 참여하는 등 연간 5명씩 최고 정보보호전문가를 육성한다는 계획이다.


지금까지 1년 전 카드사 사태 이후 KB국민카드의 보안개선사항을 살펴봤다. 그러나 KB카드를 비롯한 카드사 3사가 풀어야할 숙제도 아직 남아 있다는 지적이다. 그 가운데 하나는 유출된 고객정보와 스미싱, 파밍 등이 결합돼 발생할 수 있는 무단결제 우려다. 실제로 가장 최근인 지난 1월 6일 온라인쇼핑몰 지마켓에서 194,200원이 무단결제된 사건이 발생하기도 했다.

이렇듯 기존에 유출된 고객정보가 스미싱 범죄와 결합된다면 더욱 큰 문제를 야기할 수 있다. 일례로 지마켓을 사칭한 스미싱의 경우 지난해 기승을 부렸으며, 최근에는 인증등록을 사칭한 스미싱도 발견된 바 있다. 따라서 카드 3사는 유출된 개인정보가 스미싱, 파밍 등에 악용되지 않도록 2차 피해예방에 만전을 기해야 할 것으로 보인다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>