• 카드사 고객정보 1억400만건 유출…금융사 정보보호 실태 들여다보니

박씨 USB로 손쉽게 정보 빼돌려
개인노트북 작업불가 등
보안지침도 전혀 안지켜져
또다시 불거진 허술한 보안
당국은 뒤늦은 수습만…


카드사에서 대규모 고객정보유출사태가 발생하면서 금융권의 구멍뚫인 보안체계가 다시 도마에 올랐다. 이번에는 역대 최대 규모다. 잇따른 보안사고로 보다 강력한 금융당국의 제재와 업계의 재발방지 노력이 필요하다는 지적이 나오고 있다.

검찰은 KB국민ㆍ롯데ㆍNH농협카드의 고객 거래정보 약 1억400만건이 용역직원을 통해 외부로 유출됐다고 8일 밝혔다.

정보는 이상한 거래가 나타나면 카드 승인 불가되는 시스템인 부정사용방지시스템((FDSㆍFraud Detection System) 용역을 맡은 국내 2위의 신용평가업체 코리아크레딧뷰로(KCB) 직원 박모(39)씨가 빼돌렸다.

이름과 휴대전화번호, 주소, 일부 카드 사용내역 등이 담겨 있었다. 박씨는 7800만건을 1650만원을 받고 대출광고업자에게 팔아넘겼다. 검찰 측은 “보이스 피싱 등 2차 피해가 우려된다”며 조심할 것을 당부했다.


그렇다면 금융회사들의 보안실태는 어떨까. 이번 사건에서 유출 방법은 ‘의외로’ 간단했다. 박씨는 이동식저장장치(USB)에 해당 정보를 담아 빼갔다. 민감한 정보지만 USB에 저장하는데 아무런 문제가 없었다. 그만큼 업계의 보안관리가 부실하다는 방증이다.

특히 박씨는 외부직원이었지만 보안시스템을 만든다는 이유로 보안감시로부터 자유로웠다. 박씨가 유출한 정보는 외부에 유출시 사용할 수 없도록 암호화된 상태가 아니었다. 개인노트북 작업불가, 이동식저장장치 저장 원천 금지 등 기본적인 보안지침도 지켜지지 않았다.


해당 카드사들은 “박씨가 부정사용방지스템을 만들기 위해서는 고객의 카드사용행태를 분석해야 해 개인정보를 제약없이 볼 수 있어야 했다”고 해명했다. 3개사와 함께 박씨에게 용역을 맡긴 신한카드ㆍ삼성카드사는 USB저장을 불가능하도록 해 이번 유출사고에선 빠질 수 있었다. 하지만 사고가 발생한 3개사도 같은 보안시스템을 시행하고 있다고 밝혔던 만큼 2개사의 보안상태도 확신할 수 없다는 게 업계 설명이다.

금융사마다 서로 다른 보안시스템을 사용하고 있는데다 적용되는 보안규정도 업체마다 다르다는 점도 악용됐다. 개인노트북을 사용할 수 있는 업체가 있는가 하면 개인 데스크톱에 비밀번호를 입력해야만 관련 정보를 열람할수 있는 곳도 있다.

또 사생활보호 등의 이유로 반출 서류 등에 대한 검사가 이뤄지지 않는 곳이 상당수다. 보안 지침은 있지만 제대로 감시가 이뤄지지 않는 곳도 많다. 여신협회는 “정보보안관리는 금융당국이 담당하고 있기 때문에 우리가 공통 시스템을 만들고 의무화시킬 권한이 없다”고 하소연했다.

기본적인 보안관리조차 제대로 관리되지 않은 것으로 드러나면서 해당 카드사는 물론 관리책임을 맡고 있는 금융당국까지 비난을 피할 수 없을 것으로 보인다.

3개 카드사 대표는 “그동안 고객 정보 보호를 위해 수많은 노력을 기울여왔는데도 고객정보가 유출된데 대해 카드 3사는 무거운 책임감을 느낀다”며 “검찰 수사와 카드사별 자체 조사 등을 통해 만에 하나라도 발생할지 모르는 고객의 피해가 없도록 최선을 다하겠다”고 사과했다.

금융당국도 부랴부랴 현장 검사에 착수했다. 금융당국 관계자는 “검사 결과 위법사항이 드러나면 일벌백계 차원에서 법규에 따라 엄중히 제재할 것”이라며 중징계 가능성을 내비쳤다. 전자금융거래법과 금융 개인정보보호 가이드라인 등에 따르면 금융감독원은 개인정보 무단 유출 사건 발생시 해당 회사에 대해 영업정지, 임직원은 해임권고까지 가능하다고 규정하고 있다.

황혜진 기자/hhj6386@heraldcorp.com