[일요서울 | 김나영 기자] 개인 신용평가사인 코리아크레딧뷰로(KCB) 직원이 총 1억400만명의 카드사 고객 개인정보를 유출한 사실이 드러났다. 해당 카드사는 KB국민카드 5300만명, 롯데카드 2600만명, NH농협카드 2500만명 등이다. 이는 금융권 사상 최대의 정보 유출로 그 규모 면에서 여타 유출 사고를 모두 압도했다. 하지만 전례 없는 사태에도 금융당국과 해당 카드사들은 앵무새처럼 사과를 되풀이할 뿐 제대로 된 재발방지책을 내놓지 못하고 있는 실정이다. 

 

외주직원에게 덜컥 준 보안해제권…무방비의 극치
내 정보 어디로…건당 50~500원에 대부업체 팔려

문제를 일으킨 KCB 직원인 박모씨가 담당하는 업무는 카드 부정사용방지시스템(FDS)을 설계하는 일이었다. 카드사에서 고객들의 카드 사용패턴을 기존 체계에 적용할 수 있도록 데이터를 가공하고 분석해 암호화하는 것이 주된 업무다.

KCB로 이직한 박씨가 가장 먼저 일하게 된 카드사는 농협카드로 2012년 5월부터 같은 해 12월까지 약 7개월간이다. 이후 국민카드에서는 지난해 2월부터 8월까지, 롯데카드에서는 지난해 5월부터 이달까지 각각 6개월간 외주직원으로 일했다.

결국 국민ㆍ롯데ㆍ농협카드는 1억 명이 넘는 고객의 개인정보가 줄줄 새나가는 것도 모르고 있다가 뒤늦게야 발견되자 사과하기에 급급했다. 그러면서도 “고객 정보 보호를 위해 노력했지만 이런 일이 일어났고 지금에서야 상황을 알았다”는 취지의 변명을 늘어놓았다.

실제로 검찰이 이 사실을 알릴 때까지 카드사들은 물론 금융당국조차 그 내용을 파악하지 못했던 것으로 확인됐다. 보안이 무방비로 뚫리는데도 인식하지 못했다는 것은 더욱 부끄러운 일이지만 카드사들은 “우리도 피해자”라며 발뺌하기에 여념이 없다.

유출된 카드사들
피해자 코스프레도

주목할 점은 박씨가 일한 다른 카드사에서는 고객정보 유출이 없었다는 것이다. 박씨는 신한카드에서 지난해 4월부터 8월까지 4개월간 일했으며 삼성카드에서는 같은 해 9월에 7일간 일한 바 있다. 삼성카드의 경우 타 카드사보다 다소 짧은 기간이지만 신한카드는 상대적으로 비슷한 기간이다.

그렇다면 왜 국민ㆍ롯데ㆍ농협카드에서 새나간 고객정보가 신한ㆍ삼성카드에서는 안전했던 것일까. 이는 외주업체 직원인 박모씨가 국민ㆍ롯데ㆍ농협카드에서는 내부 보안프로그램을 해제시켜 고객 개인정보를 모두 볼 수 있는 보안해제권을 쥐고 있었던 탓이다.

물론 박씨가 프로젝트 매니저로 해당 업무를 총괄하기는 했지만 프로그램을 만들기 위해 보안해제 권한까지는 부여받을 필요가 없었다는 것이 전문가들의 지적이다. 결국 안이한 일처리로 고객 개인정보를 만천하에 흘렸으면서 ‘피해자 코스프레’를 하고 있는 카드사들에 비난이 쏟아질 만하다.

이와 관련해 금융소비자원은 “이번 카드사의 고객정보유출은 아직까지 금융사가 고객정보관리를 얼마나 허술하게 하는지를 보여주는 것”이라며 “사고 발생 때만 수습하는 것이 경제적인 관리라는 인식 아래서는 결코 정보유출 사고를 막을 수 없다”고 성명을 통해 밝혔다.

늘어만 가는 피해액
금융당국 또 사후약방문

게다가 이렇게 유출된 개인정보는 텔레마케팅 업체부터 대부업체에 이르기까지 급속도로 팔려나간다. 대출 모집인과 대부 중개업자들 사이에서는 개인정보 1건당 50원부터 500원에 이르기까지 가격이 형성된 것으로 알려졌다.

현재 개인정보 유출로 인한 대출 사기 피해액은 지난해 1월~11월에만 787억 원으로 2012년 동기 대비 2.4배가량 증가했다. 한 건당 평균 피해액 역시 490만 원으로 2012년 동기 대비 1.6배나 늘어나는 추세다.

강형구 금융소비자연맹 금융국장은 “유통된 개인 정보가 언제 어떻게 이용될지 알 수 없으므로 카드사가 정보가 유출된 고객에게 일괄적으로 보상해야 한다”면서 “특히 금전적 피해를 입지 않았더라도 정신적 피해에 대한 손해배상이 필요하다”고 강조했다.

한편 금융당국은 이번에도 검찰에 선수를 뺏긴 채 뒤늦게야 사태를 파악한 후 수습하려는 눈치다. 최수현 금융감독원장은 “카드사 정보유출 책임자는 지위고하를 막론하고 엄정 조치하겠다”는 입장을 밝혔으며 곧 해당 카드사들에 대한 특별검사에 들어갈 예정이다.

금융당국 관계자는 “과거에는 정보 유출과 관련해 제재를 강하게 한다고 말해놓고 경징계에 그쳤으나 이번에는 다르다"면서 “유출 건수도 너무 많고 유출 사실도 명백해 영업정지가 불가피하다"고 말했다. 만약 카드사가 영업정지를 받게 되면 이는 2003년 카드대란 이후 10여 년 만에 처음이다.

조남희 금소원 대표는 “금융당국의 솜방망이 제재와 묵인이 금융사 정보유출 사고를 유발하고 있다”면서 “정보유출로 인해 금융사 스스로 큰 피해를 볼 수밖에 없는 구조로 만들어 놓는다면 금융사들이 보안에 대한 투자와 보안의식을 강화할 것”이라고 강조했다.

<김나영 기자> nykim@ilyoseoul.co.kr

# 내 개인정보 유출됐을 때는?
발빠르게 대처하는 행동요령 3가지

금융권 사상 최대 규모의 카드사 개인정보 유출과 관련해 개인정보보호범국민운동본부가 개인정보 유출 피해자 행동요령에 대해 발표했다.

개인정보보호 범국민운동본부 측에 따르면 첫 번째 행동요령은 자신이 ‘개인정보 유출 피해자’임을 확인하는 것이다. 이를 위해서는 일단 검찰 등 수사당국의 수사결과를 지켜보면서 해당 카드사 등에 자신의 개인정보 유출 여부를 확인해야 한다.

두 번째 행동요령은 관계당국인 안전행정부 또는 금융감독원 등에 진정서 혹은 고발장을 제출하거나 법원에 손해배상 등을 청구하는 것이다. 만약 법원으로 가는 것이 다소 부담스럽다면 먼저 안행부가 설치하고 한국인터넷진흥원이 사무국을 맡고 있는 ‘개인정보분쟁조정위원회’에 손해배상 등 분쟁조정 신청서를 제출하는 것도 한 방법이다.

세 번째 행동요령은 소송의 경우 개인보다는 피해자들이 법적 대리인(변호사)을 공동 선임하는 형식으로 공동 소송을 제기해 유책자로부터 손해배상을 받아내는 것이다. 이러한 경우 주변 사람이나 전문가들의 도움을 얻어 자신들의 피해사실을 확인하고 입증하는 것이 관건이다.

개인정보보호 범국민운동본부 관계자는 “특히 카드사, 보험사 등 제2금융권에서 개인정보 보호의 중요성을 제대로 인식하지 못하고 있다”면서 “기업, 기관, 단체 등 모든 개인정보처리자들은 임직원들의 의식 제고와 기술ㆍ관리적 조치를 포함한 내부통제 시스템을 한층 강화하도록 노력해야 할 것”이라고 말했다.

<나>