
주요 은행들이 정보보안과 물리보안을 따로 운영 중인 것으로 나타났다. 통제 사각지대를 보완하기 위해 관리 방안 개선이 필요하다는 지적이 나온다.
16일 은행권에 따르면 4대 시중은행들은 대부분 최고정보보호책임자(CISO) 산하 전산 보안, 외부인 출입과 그에 따른 스마트폰, 이동형 저장장치(USB), 노트북 등 IT 장비반입 반출을 통제하는 물리보안 조직·시스템을 분리 운영 중이다. 물리보안은 안전관리나 관제, 총무 파트 등에 통제해 사실상 CISO와 이원화된 체계로 관리된다.
이 같은 체계는 법 제도가 명확하지 않기 때문이라는 분석이 나온다. '정보통신망 이용 촉진 및 정보보호 등에 관한 법률'에 따르면, 법률상 최고 책임자는 정보보호 관련 업무를 총괄하도록 규정되어 있지만, 물리적 보안 및 접근 통제에 관한 규정은 법적으로 명시하지 않았다. 은행은 물리보안 등 안전관리와 하드웨어 영역은 산업안전보건법에 기반해 운영 중이다.
은행 관계자는 “적용 법령 취지와 성격이 달라 일원화 시 업무 내용이 상충할 수 있다”고 설명했다.
보안업계 시각은 다르다. 보안업체 한 관계자는 “2013년 발생한 KB국민카드 USB 정보 유출 사태, 2015년 모건스탠리 정보 유출 사태 등 내·외부인이 공모한 물리보안 사고 가능성도 여전히 큰 만큼 물리·정보보안을 아우르는 통합 체계가 필요하다”고 지적했다.
메타(구 페이스북)는 글로벌 보안 책임자 직속으로 물리보안과 정보보호를 함께 운영한다. SK텔레콤은 올해 고객 데이터 침해 사건을 계기로 통합보안센터를 신설해 산재해 있던 내부 정보보호 조직을 CISO 산하로 재편, 일원화된 보안 컨트롤타워 체제를 구축했다.
정다은 기자 dandan@etnews.com, 김시소 기자 siso@etnews.com