[디지털데일리 김남규기자] 지난해 발생한 롯데카드 사태 이후, 금융권에서 개인정보유출 사고에 대한 경각심이 대폭 높아지고 있다.

그러나 국내 금융권에선 여전히 일부 데이터 영역에서 비정형 데이터에 대한 고유식별정보가 암호화되지 않은 채 저장·관리되고 있다는 것이 문제점으로 지적되고 있다.

현행 개인정보보호법(제24조 및 시행령 제19조, 제21조)에 따라 금융회사들은 주민등록번호, 여권번호 등 고유식별정보는 반드시 암호화해 저장해야 한다. 이를 위반할 경우 전체 매출액의 3% 이하 과징금, 5년 이하 징역 또는 5000만원 이하 벌금 등 강력한 제재가 부과될 수 있다.

또한 안전성 확보조치를 이행하지 않을 경우 최대 3000만원 이하의 과태료가 부과된다. 이로 인해 대부분의 금융회사들은 2016년부터 2018년 사이 고객번호 등 주요 식별정보에 대한 암호화 시스템 구축을 완료하고 운영 중이다.

그러나 문제는 대부분 단일 칼럼 중심의 암호화에 집중돼 있어 사용자가 입력하는 메모 칼럼이나 JSON, XML, HTML 등 비정형 데이터 영역에 포함된 고유식별정보는 암호화되지 않는 사례가 적지않게 발견되고 있다. 이는 명백한 법적 리스크로 이어질 수 있다.

이러한 문제를 해결하기 위해서는 고객번호가 포함될 가능성이 있는 모든 칼럼을 암호화 범위에 포함하도록 애플리케이션을 개선하고, 기존에 저장된 데이터에 대한 일괄 암호화 작업이 병행돼야 한다.

이 과정에서 애플리케이션 수정 범위, DB 스키마 변경, 저장공간 확보, 오탐 대응, 단계적 이행계획 수립 등 다양한 고려사항이 요구된다.

이처럼 고객정보 암호화 사각지대를 해소하기 위한 효과적인 통합 대응 방안으로 이진씨엔에스는 ‘eCNS(Enhanced Customer Number Encryption)’로 명명된 통합암호화관리솔루션을 출시했다고 8일 밝혔다.

이진씨엔에스에 따르면 ‘eCNS’솔루션은 문자열 내 고객정보를 검출하고 암호화할 수 있는 API 라이브러리를 제공한다. 해당 기능은 C, C#, Java 및 DB 함수 형태로 지원되어 다양한 애플리케이션 환경에 유연하게 적용 가능하다는 설명이다.

또한 기존 데이터에 대한 일괄 암호화 프로그램도 지원한다. 온라인 서비스 중단없이 배치 방식으로 데이터를 점진적으로 암호화할 수 있어 운영 안정성을 유지할 수 있다.

이와함께 전사 DB를 대상으로 암호화되지 않은 고객정보를 정기적으로 점검하는 기능을 제공한다. "스케줄 기반 배치 작업을 통해 데이터베이스 및 테이블별 암호화누락 데이터 현황을 자동으로 식별할 수 있다"는 설명이다.

이진씨엔에스의 이재학 대표는 "eCNS 도입 시 별도의 신규 암호화 솔루션 없이 기존 암호화 시스템을 활용할 수 있으며, 칼럼 크기 변경 없이 동일 길이로 암호화가 가능해 DB 스키마 및 애플리케이션 변경을 최소화할 수 있다"고 강조했다. 이어 "암호화 데이터와 평문 데이터가 혼재된 상태에서도 안정적인 서비스 운영이 가능해 단계적 이행이 용이하다"고 덧붙였다.

금융권에선 단순 칼럼 암호화를 넘어 비정형 데이터까지 포함한 전방위적인 고객정보 보호 체계 구축이 필요한 시점에서 이 솔루션이 효과적일 수 있다는 평가다. 법적 리스크를 최소화하고 실질적인 개인정보 보호 수준을 강화해야 한다는 것이다.

이미 이진씨엔에스측은 BNK금융그룹 계열사에 eCNS 솔루션을 공급하는 등 긍정적인 반응을 이끌어내고 있다는 평가다.