KB국민·롯데·농협카드 중 사고후 ISMS 인증 받은곳 '제로'

지난해 약 1억여건의 대규모 고객정보 유출 사고로 홍역을 겪었던 카드사들의 정보보안이 여전히 허술한 것으로 드러났다. 카드사들이 신뢰회복을 위해 다각적인 노력을 기울이고 있지만 실질적인 정보보호관리체계가 없어 보안 강화에 강력한 재점검이 필요하다는 지적이다.

21일 카드업계에 따르면 이달 초 금융당국은 삼성카드, 신한카드에 보안대책을 철저히 운영하라고 요구했다. 금융권이 대형사고를 경험하고도 보안에 대한 인식이 전혀 개선되지 않고 있다는 이유에서다.

지난해 11월 우리카드, 하나카드, 비씨카드도 금융당국으로부터 보안과 관련해 지적을 받은 바 있다. 이에 카드사들이 대책을 마련하며 사태 수습에 나섰다.

고객정보 유출 당사자인 KB국민카드는 이광일 상무를 CISO(정보보호최고책임자)로 선임하고 고객정보보호 전담팀을 만들었다. 인력도 기존대비 두배 가까이 증원됐다.

NH농협카드는 소비자보호팀을 신설해 민원과 고객정보보안에 대응하고 있다. 롯데카드는 외부개발자의 PC 반입 금지 조치와 함께 VDI(가상데스크톱)환경에서 근무하도록 하고 있다

. USB나 CD·DVD같이 흔히 사용되던 외부 저장장치의 전면 사용 차단 등 물리적인 보안 강화에도 힘쓰고 있다.

그러나 카드사들이 정보유출 사고에 근원인 정보보호관리체계(ISMS) 인증을 여전히 외면하고 있어 개인정보 유출 재발 방지 방안이 미흡하다고 지적되고 있는 것이다.

ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도다. 보안업계에서는 카드사들이 보안문제를 미리 막는 ISMS에 등 돌린 것이 지난해 정보유출이라는 화를 불렀다고 지적한다.

그러나 개인정보 유출사태가 발생한지 1년이라는 시간이 지났지만 장본인인 KB국민·롯데·농협카드는 물론 카드사 대부분이 여전히 ISMS에 대한 관심을 기울이지 않고 있다.

지난해 정보유출 사고 이후 추가로 ISMS 인증을 획득한 카드사는 한 곳도 없다. 현재 카드사 중에서는 비씨카드가 유일하게 2012년 퓨처센터(카드 프로세싱 업무 통합 센터)에 ISMS 인증을 획득한 상태다.

이에 개인정보를 대규모로 취급하고 있는 카드사들이 ISMS 인증에 앞장서야 한다는 목소리도 나오고 있다. 개인정보에 가장 민감한 업종 중 하나인 만큼 선제적으로 정보보호인증에 나서야 한다는 것이다.

금융권 관계자는 “카드정보 저장을 할 수 있는 PG사들도 PCI-DSS인증을 받거나 이를 ISMS 인증으로 대체해야 한다”며 “그럼에도 불구하고 카드사들이 오히려 정보보호인증에 더 인색한 것 같다”고 지적했다.

조민영 기자 mine8989@viva100.com