흔히 개인정보는 해커들이 서버에 침입해 빼내가는 것으로 알고 있다. 그러나 이번 KB국민카드, 롯데카드, NH농협카드 등 카드 3사의 개인정보 유출은 정보관리를 맡고있는 회사의 내부자에 의한 유출이었다. 때문에 유출된 정보의 양과 질이 모두 엄청났다. 사실상 고양이에게 생선가게를 맡긴 꼴이다.
이번 사건도 어처구니없이 일어났다. 카드사에 보안시스템을 구축해 주는 개인신용평가회사 KCB(코리아크레딧뷰로) 직원 박모(39)씨가 지난해 2월부터 고객정보를 빼내 팔아넘겼다. 박씨는 USB를 통해 간단하게 개인정보를 빼냈으며, 이 정보를 광고대행업자와 대출모집인 등에게 팔았다. USB를 휴대해서는 안된다는 보안상식이나 고객정보를 암호화해야 한다는 간단한 보안규정조차 무시되었기 때문에 가능한 일이었다.
지난해 말까지 거의 1억 건의 개인정보를 유출했지만, 검찰 적발 전까지는 아무도 알지 못했다. 카드 3사는 개인정보가 빼돌려졌다는 사실을 검찰 수사를 통해 비로소 파악했다.
|
|
|
▲ 소 잃고 외양간 고치기 격이다. 20일 오전 3개 카드사 대표가 고개숙여 사죄하고 있다. |
이러다 보니 유출 정보의 질이 엄청나다. 카드 가입 때 기입을 요구하는 거의 모든 항목이 유출됐다. 카드 가입 시 입력한 정보량에 따라 개인차가 있지만 이름, 휴대전화 번호, 직장 전화번호, 자택 전화번호, 주민번호, 직장주소, 자택주소, 직장정보, 이용실적 금액, 결제계좌, 결제일, 신용한도 금액, 결혼 여부, 자가용 보유 여부, 신용등급 등 최대 19개 항목이나 됐다. 여권번호나 타사 카드 보유 여부 등까지 유출되기도 했다. 카드번호와 유효기간은 농협과 롯데 두곳에서 유출됐다. 그나마 다행인 것은 CVC와 비밀번호가 유출되지 않았다는 사실이다.
카드를 이미 해지했는데도 개인정보가 유출됐다는 사례도 많았다. 이와 관련해 금감원 관계자는 “카드를 해지해도 보통 5년 정도는 향후 분쟁 등에 대비해 카드사가 고객 정보를 보유할 수 있도록 돼 있다”고 말했다. 그러나 해지고객 정보의 경우 별도로 보관해야 하는데도 이를 지키지 않았다면 개인정보보법 위반이다. 카드 3사들은 별도로 보관하지 않았을 가능성이 높다.
금융사들이 개인정보를 무분별하게 계열사 간에 공유한 것도 개인정보 유출의 피해를 키웠다. 카드 3사에서 개인정보가 유출되는 과정에서 국민은행 등 계열사 정보도 함께 유출된 것으로 나타났다. 금융지주 계열사 간 고객정보를 공유하는 경우가 있어서 생긴 것이다. 금감원 측은 “국민은행의 유출된 정보가 예금이나 대출 등 구체적인 거래 정보가 아닌 개인의 신용정보만 유출된 것으로 파악된다”고 밝혔다. 국민은행이 그렇다면 농협카드 계열사인 농협은행 등 다른 시중은행 정보도 유출되었을 가능성이 높다.
이번 사건은 결국 예민한 개인정보를 다루는 기업들이 ‘정보보안’에 어떻게 대응해야 하는지 큰 과제를 남겨놓았다. 해커에 의한 전산을 통한 침입이라면 보안장비를 철저히 구축하고 모니터링을 구축하면 어느 정도 예방할 수 있다.
그러나 내부자에 의한 유출이라면 이런 대비는 속수무책이다. 한 보안업체 전문가는 “전 직원의 보안의식이 강화되고 개인정보에 대한 윤리교육도 확립되어야 하며, 내부자별로 개인정보에 접근할 수 있는 보안체계의 구축과 함께 접근에 대한 철저한 모니터링 시스템도 갖춰야 한다”며 “특히 주요 정보들은 철저히 암호화 되어야 한다”고 말했다.
금융회사 등이 과다한 개인정보를 요구하는 관행도 사라져야 한다. 그동안은 영업에 활용할 목적으로 불필요한 정보도 많이 요구했다. 개인정보를 모아놓으면 언젠가 쓰이겠지 하는 안일한 생각도 경쟁적으로 개인정보를 쌓도록 했다.
이번 사건이 터지면서 일부 기업들이 보안 최고책임자의 영입을 서두르고 있다. 그러나 단순히 최고책임자 한 사람이 들어선다고 같은 사건의 재발을 막을 수는 없다. 정말 필요한 정보만 선택적으로 수집하고, 이렇게 모은 개인정보 자체를 최대의 보안대상으로 여기는 문화와 제도가 함께 정착되어야 한다는 지적이다.