KoreaWho
KoreaWho
기업과산업  바이오·제약

카드 개인정보, 고양이에게 생선 맡겼다

강우민 기자 wmk@businesspost.co.kr 2014-01-21 18:44:13
확대 축소
공유하기
페이스북 공유하기 X 공유하기 네이버 공유하기 카카오톡 공유하기 유튜브 공유하기 url 공유하기 인쇄하기


흔히 개인정보는 해커들이 서버에 침입해 빼내가는 것으로 알고 있다. 그러나 이번 KB국민카드, 롯데카드, NH농협카드 등 카드 3사의 개인정보 유출은 정보관리를 맡고있는 회사의 내부자에 의한 유출이었다. 때문에 유출된 정보의 양과 질이 모두 엄청났다. 사실상 고양이에게 생선가게를 맡긴 꼴이다.


이번 사건도 어처구니없이 일어났다. 카드사에 보안시스템을 구축해 주는 개인신용평가회사 KCB(코리아크레딧뷰로) 직원 박모(39)씨가 지난해 2월부터 고객정보를 빼내 팔아넘겼다. 박씨는 USB를 통해 간단하게 개인정보를 빼냈으며, 이 정보를 광고대행업자와 대출모집인 등에게 팔았다. USB를 휴대해서는 안된다는 보안상식이나 고객정보를 암호화해야 한다는 간단한 보안규정조차 무시되었기 때문에 가능한 일이었다.


지난해 말까지 거의 1억 건의 개인정보를 유출했지만, 검찰 적발 전까지는 아무도 알지 못했다. 카드 3사는 개인정보가 빼돌려졌다는 사실을 검찰 수사를 통해 비로소 파악했다.


  카드 개인정보, 고양이에게 생선 맡겼다  
▲ 소 잃고 외양간 고치기 격이다. 20일 오전 3개 카드사 대표가 고개숙여 사죄하고 있다.

이러다 보니 유출 정보의 질이 엄청나다. 카드 가입 때 기입을 요구하는 거의 모든 항목이 유출됐다. 카드 가입 시 입력한 정보량에 따라 개인차가 있지만 이름, 휴대전화 번호, 직장 전화번호, 자택 전화번호, 주민번호, 직장주소, 자택주소, 직장정보, 이용실적 금액, 결제계좌, 결제일, 신용한도 금액, 결혼 여부, 자가용 보유 여부, 신용등급 등 최대 19개 항목이나 됐다. 여권번호나 타사 카드 보유 여부 등까지 유출되기도 했다. 카드번호와 유효기간은 농협과 롯데 두곳에서 유출됐다. 그나마 다행인 것은 CVC와 비밀번호가 유출되지 않았다는 사실이다.


카드를 이미 해지했는데도 개인정보가 유출됐다는 사례도 많았다. 이와 관련해 금감원 관계자는 “카드를 해지해도 보통 5년 정도는 향후 분쟁 등에 대비해 카드사가 고객 정보를 보유할 수 있도록 돼 있다”고 말했다. 그러나 해지고객 정보의 경우 별도로 보관해야 하는데도 이를 지키지 않았다면 개인정보보법 위반이다. 카드 3사들은 별도로 보관하지 않았을 가능성이 높다.


금융사들이 개인정보를 무분별하게 계열사 간에 공유한 것도 개인정보 유출의 피해를 키웠다. 카드 3사에서 개인정보가 유출되는 과정에서 국민은행 등 계열사 정보도 함께 유출된 것으로 나타났다. 금융지주 계열사 간 고객정보를 공유하는 경우가 있어서 생긴 것이다. 금감원 측은 “국민은행의 유출된 정보가 예금이나 대출 등 구체적인 거래 정보가 아닌 개인의 신용정보만 유출된 것으로 파악된다”고 밝혔다. 국민은행이 그렇다면 농협카드 계열사인 농협은행 등 다른 시중은행 정보도 유출되었을 가능성이 높다. 


이번 사건은 결국 예민한 개인정보를 다루는 기업들이 ‘정보보안’에 어떻게 대응해야 하는지 큰 과제를 남겨놓았다. 해커에 의한 전산을 통한 침입이라면 보안장비를 철저히 구축하고 모니터링을 구축하면 어느 정도 예방할 수 있다.

그러나 내부자에 의한 유출이라면 이런 대비는 속수무책이다. 한 보안업체 전문가는 “전 직원의 보안의식이 강화되고 개인정보에 대한 윤리교육도 확립되어야 하며, 내부자별로 개인정보에 접근할 수 있는 보안체계의 구축과 함께 접근에 대한 철저한 모니터링 시스템도 갖춰야 한다”며 “특히 주요 정보들은 철저히 암호화 되어야 한다”고 말했다.


금융회사 등이 과다한 개인정보를 요구하는 관행도 사라져야 한다. 그동안은 영업에 활용할 목적으로 불필요한 정보도 많이 요구했다. 개인정보를 모아놓으면 언젠가 쓰이겠지 하는 안일한 생각도 경쟁적으로 개인정보를 쌓도록 했다.

이번 사건이 터지면서 일부 기업들이 보안 최고책임자의 영입을 서두르고 있다. 그러나 단순히 최고책임자 한 사람이 들어선다고 같은 사건의 재발을 막을 수는 없다. 정말 필요한 정보만 선택적으로 수집하고, 이렇게 모은 개인정보 자체를 최대의 보안대상으로 여기는 문화와 제도가 함께 정착되어야 한다는 지적이다.



 

최신기사

법원, 우리금융 '부당대출' 혐의 전 회장 손태승 구속영장 재차 기각
경찰, 국방부·수방사 압수수색해 전 국방장관 김용현 '비화폰' 확보
롯데쇼핑 자회사 롯데인천타운 흡수합병하기로, "경영효율성 제고"
하나은행장에 이호성 하나카드 사장, 하나증권 강성묵 사장 연임, 하나카드 사장에 성영수..
야당 6당 윤석열 대통령 탄핵소추안 두번째 제출, 14일 오후 5시 표결
우리은행 고강도 인사 쇄신, 부행장 줄이고 70년대생 포함해 세대교체
미국 생물보안법안 연내 통과 진행형, 외신 "예산 지속 결의안에 포함땐 가능"
국회 내란 특검법과 김건희 특검법 가결, 국민의힘 반대당론에도 이탈표 나와
GM CFO "LG엔솔-GM 오하이오 배터리공장 가동률 80%, 테네시 40%"
서울 아파트값 38주 연속 상승, 대출규제 영향에 관망세 짙어져 상승폭 축소
koreawho

댓글 (0)

  • - 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
  • - 저작권 등 다른 사람의 권리를 침해하거나 명예를 훼손하는 댓글은 관련 법률에 의해 제재를 받을 수 있습니다.
  • - 타인에게 불쾌감을 주는 욕설 등 비하하는 단어가 내용에 포함되거나 인신공격성 글은 관리자의 판단에 의해 삭제 합니다.