침해사고/위협동향

사상최대 금융 고객정보 유출…“개인정보 불법 유출·유통 근본대책 필요”

이유지

[디지털데일리 이유지기자] SC은행·씨티은행 등 16개 금융사 고객정보 127억건, KB국민카드·NH농협카드·롯데카드 3개사 고객정보 1억580만건. 사상최대 금융사 고객정보 대량 유출 사고로 금융서비스 이용자들이 충격에 휩싸였다.

이번 사고는 카드사 등 금융사 내부보안관리체가 여전히 미흡하다는 점과 돈이 되는 개인정보 불법 유통 문제의 심각성을 다시금 드러낸 사건이다. 금융당국과 수사기관, 관계부처가 공조해 재발방지를 위한 보다 근본대책이 마련돼야 한다는 지적이 나오고 있다.

사건 수사를 담당하고 있는 창원지방검찰청과 금융감독원은 최초 개인정보 불법수집·유통자가 검거돼 외부로 유출이 확산되지 않았을 것이라며 2차 피해 가능성을 일축했지만, 이용자들의 불안감은 확산되고 있는 분위기다.

이번 금융사 고객정보유출 사고는 내부자 등 사내에서 근무하던 관련자들의 소행이었다. 유출 사실이 알려진 것은 검찰의 불법사금융업자, 불법대출광고업자 단속이 도화선이 됐다. 은행 내부직원뿐 아니라 IT수탁기업 등 파견업체 직원이 은행, 카드사, 캐피탈사 등 금융사 전산망에 접근해 개인정보를 유출해 이들에게 넘긴 불법행위가 줄줄이 드러난 것이다.

씨티은행은 지점 대출담당직원이, SC은행은 IT센터 수탁업체 직원이 시스템 개발업무를 담당하기 위해 수개월동안 근무하던 기간에 정보를 빼돌렸다. 이들은 은행이 운영하고 있던 정보유출 방지체계의 허점을 이용했다. 컴퓨터 파일을 복사, 저장을 금지하는 곳에서는 정보를 출력·인쇄하는 방법을 이용했고, 정보접근이 제한된 체계에서는 자신의 능력과 권한을 악용해 보안프로그램을 해제한 후 USB에 파일을 저장한 것으로 검찰 조사결과 드러났다.

1억580만명의 KB국민카드·NH농협카드·롯데카드 고객정보 유출 사고는 이들 카드사에 파견근무했던 신용평가회사 코리아크레딧뷰로(KCB) 직원이 저지른 것으로 알려져 더 충격을 안겨줬다.

검찰에 구속된 KCB 직원은 고객정보보호 등을 위한 카드 도난·분실, 위·변조 탐지 시스템개발 프로젝트(FDS) 총괄담당자였다. 이들 카드사에 파견근무하던 2012년 5월부터 작년 12월까지 전산망에 접근해 USB에 고객정보를 복사해 불법 수집·유출, 유통한 혐의를 받고 있다. 이 파견직원이 3개 카드사에서 어떻게 고객정보에 접근해 빼돌렸는지 구체적으로 알려지지 않았지만, 내부 보안관리가 허술했다는 것은 짐작할 수 있다.

더욱이 이들과 대출광고업체, 대출모집인이 검거되기 전까지 금융사들은 유출된 사실을 알지 못했던 것으로 보인다. 금감원은 창원지검의 수사결과 발표이후 부랴부랴 금융사에 자체점검 실시를 요청했다. 이후 새해 들어 카드사 대상의 현장검사, 두 은행 대상의 특별검사를 실시하고 있다.

지난 8일, 창원지검이 이 사건 수사결과를 발표한 지 일주일도 더 지난 17일 오후부터 카드사들은 홈페이지 등을 통해 유출된 고객정보 본인확인 서비스를 시작했다. 이용자들은 은행정보를 포함해 당초 예상보다 광범위하고 민감한 개인정보가 유출된 것으로 확인되면서 불안감이 크게 고조된 상황이다. 은행연계정보가 포함되면서 신용카드를 발급하지 않았거나 카드 해지자 정보까지 유출된 사례도 다수 발견돼 이용자들의 공분을 사고 있다. 파장이 심상치 않자 금감원은 19일 긴급 브리핑을 열고 정확한 유출 현황과 대책을 발표했다.

사건 관련 금융사들과 금융감독원은 구속된 정보유출 피의자들로부터 원본파일과 복사파일을 회수했다는 이유로 2차 피해가능성을 일축했다. 또 카드사를 제외한 은행 등 16개 금융사 유출 정보에는 성명, 전화번호 등 단순정보 외에 예금계좌번호, 비밀번호 등 금융거래 관련 민감정보는 포함되지 않은 것으로 파악됐다고 강조했다.

하지만 이용자들은 유출된 정보가 유통되지 않았다는 것을 믿을 수 없다며 목소리를 높이고 있다.

또 카드사 고객정보에는 성명, 주민등록번호, 전화번호, 주소 등 개인식별정보와 카드번호 및 유효기간(KB 제외), 결제계좌, 타사카드정보(NH 제외) 등 개인신용정보도 포함돼 있다.

국민카드의 고객정보에는 성명, 휴대폰 번호, 직장·자택번호, 주민번호, 직장·자택주소, 주거상황, 이용실적 금액, 결제계좌, 연소득, 신용한도금액, 신용등급 등이 낱낱이 담겨있다.

이에 따라 금융사들의 피해자 보상과는 별개로 금감원이 면밀한 정보유출 경위와 함께 책임소재를 파악해 보완대책과 함께 마련해야 한다는 목소리가 높다. 특히 카드사들의 개인정보보호, 내부정보유출방지체계에 대한 조치 강화가 시급하다고 제기되고 있다.

현재 만연화돼 있는 개인정보 불법유통을 근절할 보다 적극적이고 근본적인 대책을 모색해야 한다는 지적도 나왔다.

이경호 고려대 정보보호대학원 교수는 “무엇보다 개인정보가 유통돼온 관행을 끊어야 고객정보 유출 문제를 근본적으로 해결할 수 있다”고 강조했다.

금융회사에서 유출된 고객정보는 대출모집인, 대부중개업자들 사이에서 수십원에서 수백원으로 쉽게 거래되고 있는 것으로 공공연하게 알려져 있다. 검찰도 이번 수사결과, 다수의 대출모집인들과 대부중개업자들은 각자 보유하는 고객정보를 수수·공유하며 전화나 문자 발송 등을 통해 대출영업에 나서고 있는 것으로 확인했다. 대출업체에 접근해 여러 금융회사 고객정보의 매수를 제의하는 전문 ‘개인정보 유통 브로커’도 존재하는 상황이다.

이 교수는 “그동안 카드로 현금서비스를 쓰면 바로 대출문자를 받는 일이 비일비재하게 발생해 왔다. 그만큼 개인정보가 광범위하게 유통돼 왔다는 것”이라며 “개인정보 유출이나 관리 미흡에 대한 처벌, 감독 수위가 높아지더라도 불법 유통 수요나 유통 시장이 남아있다면 고객정보유출 사고는 되풀이 될 수밖에 없다. 음성적인 유통을 방지할 방법을 다각도로 열어놓고 논의해볼 필요가 있다”고 말했다.

한 정보보호업계 관계자는 “개인정보를 불법적으로 사고파는 행위를 지속적으로 단속하고 강력하게 처벌할 필요가 있다”고 목소리를 높였다. 그는 “이번 사고는 돈을 벌기 위해 윤리의식을 저버린 내부자나 파견된 IT개발자들이 저지를 범죄라고 치부할 수 없다. 보안체계나 보안윤리 교육을 포함해 금융사가 미흡했던 보안조치를 강화할 수 있도록 감독당국이 강력한 모습을 보여줘야 한다”고도 덧붙였다.

금감원도 불법정보 거래를 원천 근절할 대책을 강구하겠다고 언급했다. 최종구 금감원 수석부원장은 “이번 사건은 금융사고 차원을 넘어서 근본적으로 고객정보의 불법 유통수요에 의해 발생한 중대한 범죄행위”라며 “유관기관과 수사당국과 긴밀한 공조를 통해 불법정보거래를 원천적으로 근절할 수 있는 대책을 지속적으로 강구할 것”이라고 밝혔다.

금감원만의 대책으로 끝날 것이 아니라 수사기관과 관계부처가 공조해 지속 수사, 처벌규정 강화 등 관련 법규 보완, 감시체계 정비를 위한 논의와 협력이 필요하다는 지적도 나왔다.

이밖에도 이경호 교수는 “은행, 카드사 등이 공동 출자한 신용정보회사인 KCB의 위상과 관리체계를 점검해볼 필요가 있다”면서 “본래 독립적이고 공신력 있는 기관이 돼야 하는데 우리나라에서는 현재 금융사와 KCB 사이에 갑과 을의 관계가 형성돼 있는 상황으로, 향후 법적으로 공공성을 높일 수 있는 방안을 만들거나 상시 감독을 실시하는 등 감독체계를 강화해야 할 것”이라고 제기했다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널