“직원이 고객 정보 몰래 들여다봐도 몰라”…카드사 내부 보안 구멍

금융회사들이 외부 공격을 막는 데는 많은 돈을 쓰지만, 정작 내부 직원들의 정보 접근 관리는 허술한 것으로 나타났습니다.

직원이 고객 데이터를 열람하면 기록은 남지만, 실시간으로 막거나 즉시 대응하는 시스템은 없어 문제가 생긴 뒤에야 뒤늦게 확인하는 방식입니다.

국회 의원실이 국내 8개 주요 카드업체로부터 받은 자료를 분석한 결과, 이들 회사의 보안 체계는 ‘직원 조회 → 기록 저장 → 월말이나 분기 말에 점검’ 구조로 되어 있었습니다.

이런 방식은 사고가 일어난 뒤 확인만 할 뿐, 정보 열람을 미리 막거나 바로 차단할 수 없는 구조라는 지적이 나옵니다.

전문가들은 이상 거래 탐지 시스템을 강화해 실시간 감시와 차단 기능을 갖춰야 한다고 강조합니다.

한 대학교수는 “외부 해킹은 권한 없는 사람이 들어오는 것이라 일부 막을 수 있지만, 이미 권한을 가진 내부 직원이 나쁜 의도로 정보를 사용하면 더 큰 피해가 생길 수 있다”고 경고했습니다.

실제로 작년 말 한 카드사 직원이 약 19만 명의 개인정보를 몰래 빼낸 사건이 발생했습니다. 해당 직원은 새로 들어온 가맹점 대표들에게 영업하려고 전화번호 등을 빼돌린 것으로 알려졌습니다.

보안 전문가들은 국내 금융업계가 ‘제로 트러스트’ 방식이 부족하다고 지적합니다. 이는 조직 내부라도 모든 접근을 의심하고 철저히 확인·통제하는 보안 원칙입니다.

다른 교수는 “외부 침입보다 내부에서 정보를 잘못 쓰거나 빼돌리는 사고가 더 심각한데, 외부 해킹에만 신경 쓰다 보니 한쪽으로 치우쳐진 것 같다”며 “직원에게 꼭 필요한 최소한의 권한만 주고, 다단계 인증을 강화하는 등 내부 보안 관리를 서둘러 강화해야 한다”고 말했습니다.