잊을 만하면 금융회사 개인정보 유출 사건이 터지곤 합니다. 몇 해 전 사상 최악의 카드 사태가 터질 때에는 “개인정보는 곧 공공정보”라는 말까지 나왔습니다. 이에 정부는 정보유출 피해를 최소화하기 위해 ‘개인정보보호법’의 개정안을 마련, 지난 9월 30일자로 시행에 돌입했습니다. 관련 법령에 따라 보험사들은 늦어도 내년 말까지 고객 주민번호 전부를 암호화하는 등의 준비를 해야 합니다. 이미 관련 작업을 마친 보험사들이 있지만, 이제 시작하는 곳들도 많습니다. 무슨 준비를 어떻게 해야 하는 건지 짚어봤습니다. [편집자주] |
인더뉴스 권지영 기자ㅣ 카드사 고객 개인정보 유출 사건은 보험회사의 텔레마케팅(TM)을 통한 상품 판매를 중단시킬 정도로 여파가 컸다. 보험회사를 포함해 모든 금융회사에서는 고객 동의 하에 수집하고 활용했던 개인정보를 기존 방식처럼 보관할 수 없게 됐다.
현재 보험회사의 고객 개인정보는 여러 방식으로 관리되고 있다. 정부가 올해 1월 설립한 한국신용정보원에서 주민번호·질병이력 등을 포함한 고객 정보를 집적해 보관하고 있다. 보험사에서도 각 사별 고객의 개인정보 원본을 따로 구축한 전산 시스템에서 모으고 있으며, 원본을 제외한 나머지는 모두 암호화해야 한다.
금융당국과 보험업계에 따르면 2017년 12월 말까지 개인정보 암호화 작업을 완료해야 하는 가운데, 대형 보험사에서 대표적으로 삼성화재와 한화생명이 고객 정보 암호화 시스템을 구축했다. 현재 두 회사는 신규 고객을 포함해 기존 보유계약에 대한 고객 개인정보 일체를 암호화해 처리하고 있다.
우선, 삼성화재는 지난 2007년 차세대 시스템(IT 시스템)을 구축할 당시 처음으로 고객식별정보에 대한 암호화를 적용했다. 시스템 상에서 고객마다 별도의 번호를 부여해 식별하도록 한 것. 이후 2013년 개인정보보호법 개정에 따라 2014년 9월부터 2015년 6월까지 차세대 시스템 이외에 추가 암호화 변경 작업을 끝냈다.
보험회사는 보험 가입 당시 작성하는 상품 계약서부터 TM 혹은 콜센터 전화 녹취 파일, 주민등록증이나 여권 사본과 같은 이미지 파일 등도 전부 암호화해 저장해야 한다. 가령, 텔레마케팅을 통해 보험에 가입했다면 고객과의 유선상으로 나눴던 녹취 파일 자체를 암호화해 관리하는 방식이다.
삼성화재는 전체 고객의 데이터 베이스(DB)를 통해 개인정보 보유 현황을 점검한 후 단계별로 암호화를 적용했다고 설명했다. 암호화 대상을 분류해 보관할 수 있도록 전산 프로그램 일체를 수정하고, 암호화 된 DB에 접근을 제한하는 솔루션을 동시에 도입했다.
개인정보보호법에서 정하는 주민번호 암호화 조치 외에도 고객 이메일, 전화번호, 주소, 위치정보 등도 추가적으로 암호를 적용해 정보의 접근을 제한했다. 주민번호 등 민감한 정보를 포함해 모든 고객 정보에 대한 노출을 최소화하고, 만일의 유출을 대비해 적극적으로 대처했다는 것이다.
삼성화재 관계자는 “법 개정으로 추가 암호화 조치를 할 때 DB내 저장되는 개인정보에 대한 암호화뿐만 아니라 회사 서버에서 일괄 처리되는 파일도 암호 처리를 했다”며 “개인정보를 저장할 때 암호로 관리될 수 있도록 별도의 파일 암호화 솔루션을 적용했다”고 설명했다.
한화생명도 개인정보보호법이 본격 시행되기 훨씬 앞선 지난 2013년 10월 개인정보 암호화 조치를 완료했다. 고객 정보를 비롯해 임직원 정보, 설계사(FP)정보 등 모든 개인정보를 암호화해 저장했으며, 관련 시스템만은 무려 90여개에 이른다.
개인정보 암호화 작업을 위한 솔루션을 구축하는 데 1년 4개월 가량 소요됐다. 고객 개인정보는 설계사, TM, 온라인 등 파일의 성격에 따라 단계별로 암호화 작업을 추진했다. 현재 보험금 지급 심사, SIU(보험사기 조사) 팀 등 일부 담당팀에서만 해당 정보에 대한 접근 권한이 있다는 게 회사의 설명이다.
한화생명 관계자는 “개인정보 유출에 대한 위험이 계속 존재하고 있어 암호화 작업에 긴 시간 공을 들였다”면서 “이번 개인정보 암호화 조치를 통해 법률을 준수하는 것뿐만 아니라 고객에 보다 안전한 IT서비스를 제공할 수 있을 것으로 기대한다”고 말했다.
금감원 금융정보보호팀 관계자는 “보험사를 포함해 고객 개인정보를 많이 보유한 금융권에서는 정보 암보화 백업 작업은 예전부터 이슈였다”면서 “처음엔 과거 계약까지 다 찾아서 주민번호 등 전부 암호화해 너무 힘들다고 토로했지만, 선제적으로 마친 곳도 있어 타사의 사례가 될 수 있다”고 말했다.