역대 최대 1억건 정보 유출…어떻게 가능했나

"조상님 죄송합니다…우리가문 비밀이 다 털렸습니다"

카드사 보안 소홀과 KCB직원 범행의 합작품
카드번호ㆍ유효기간만으로 결제 제한됐지만 고강도 재발방지책 여전히 미흡

[아시아경제 최일권 기자] 이번 설 가족 모임에 빠질 수 없는 화두는 바로 카드사 정보유출 사건이다.

이달 초 검찰의 발표로 촉발된 카드사 정보유출 사태는 단순히 개인의 절도 행위가 아닌 그동안 만연해 있던 개인정보보호 문제에 경종을 울렸다. 1억건 이상 정보유출로 금융당국 수장은 물론, 사생활 보호를 생명처럼 여기는 연예인, 심지어 대통령까지 정보 유출 대상에서 예외는 없었다.

그동안 금융권뿐 아니라 각계각층에서 관행처럼 여겨지던 개인정보 관리를 바꾸는 계기가 됐다는 견해가 지배적이다. 정보유출의 진앙지인 금융권뿐 아니라 홈쇼핑, 인터넷 쇼핑 등의 결제 행태가 바뀐 것은 물론이다. 카드번호와 유효기간만으로 결제가 가능한 일부 카드 가맹점도 본인 확인을 추가하기로 한 게 대표적인 변화 사례다.

이를 계기로 우리 사회 전반의 개인정보보호 인식도 바뀔 것으로 전망된다. 금융당국은 사건이 불거진 이후 대대적인 재발방지대책을 마련하기도 했다.

◇정보 유출 발단=KB국민카드와 NH농협카드, 롯데카드 등 3개 카드사의 정보 유출 사실이 알려진 것은 검찰의 중간수사결과가 발표되기 2일 전인 올 1월6일이었다. 정보가 최초로 유출된 시점인 2012년 10월에서 1년2개월이 지난 후였다.

최초 유출은 농협카드에서 벌어졌다. 2012년 10월과 같은 해 12월 등 두 차례였다. 농협카드는 2012년 5월 코리아크레딧뷰로와 FDS(이상거래감지시스템) 개발계약을 맺었다. 같은 해 6월 농협카드는 KCB직원 박모씨가 반입한 PC에 보안 프로그램을 설치했다. 하지만 박씨가 해당 PC를 포맷하면서 농협카드가 설치한 보안프로그램도 함께 사라졌다. 박씨는 이를 농협카드 측에 알리지 않았다.

정보 유출이 발생한 것은 이 해 10월 농협카드 직원이 고객정보를 변환하지 않고 KCB직원 박씨에게 제공한 게 결정적이었다. 테스트를 하려면 고객정보를 변환해야 하는데 규정을 지키지 않은 것이다. 박씨는 보안프로그램이 설치되지 않은 PC를 이용해 고객정보를 메모리 임시저장장치인 USB에 담았다.

농협카드 직원은 이 같은 사실을 까맣게 모른 채 2012년 11월에 고객정보를 다시 제공했다. 박씨는 12월 또 다시 보안프로그램이 설치되지 않은 PC를 이용해 고객정보를 USB에 저장했다.

국민카드는 KCB와 지난해 1월 FDS 개발계약을 체결했으며 롯데카드는 같은 해 5월 계약을 맺었다. 이들 카드사 역시 KCB직원 박씨에게 고객정보를 그대로 전달했고, 박씨는 보안프로그램이 깔리지 않은 PC를 이용해 6월과 12월 각 카드사에서 정보를 옮겨 담았다. 카드사별로는 국민카드가 5300만건으로 가장 많았고 롯데카드와 농협카드에서는 각각 2600만건과 2500만건이 빠져나갔다.

박씨는 신한카드와 삼성카드에 대해서도 똑같은 탈취 행각을 벌였으나 실패하고 말았다.

◇정보유출 규모 1억500만건= 이달 초 검찰이 박씨를 통해 파악한 개인정보 유출 규모는 역대 최대인 1억580만건에 달했다. 피해를 입은 개인만 해도 1700만명에 이르렀다. 게다가 카드사와 관련된 은행의 정보까지 고스란히 노출됐다. 노년층과 학생을 제외한 경제활동을 하는 모든 주체의 정보가 털렸다는 점에서 충격은 컸다.

지난 17일 저녁 일부 카드사가 개인정보 유출 피해현황을 공개하면서 파장은 더욱 확산됐다. 연소득, 신용한도금액, 신용등급 등 민감한 정보는 물론이고 해당 신용카드를 이용하지 않는 고객의 정보까지 유출됐다. 이름, 계좌번호, 주민번호 등은 기본이고 여권번호, 결혼유무 등 최대 21가지에 해당하는 정보가 빠져나갔다고 신고한 고객도 있었다.

일부 카드사는 본인 확인장치를 제대로 마련하지 않아 정보유출 추가 피해를 야기할 뻔했다.

특히 정보유출 사건이 알려진 초기에는 어디서 정보가 빠져나갔는지 정확히 파악이 안돼 우왕좌왕했다. 이 때문에 검찰에서 금감원을 거쳐 카드사까지 정보가 제공되는 일주일 동안 금융당국과 카드사는 엇박자를 보이기도 했다. 금감원은 카드번호와 유효기간 정보가 동시에 외부로 흘러나왔다면 카드를 재발급하는 게 맞다고 했지만 카드 해지ㆍ탈퇴, 재발급 요청이 쇄도하자 금융위는 2차 피해 가능성이 없는 만큼 바꾸지 않아도 된다고 말을 바꿨다.

더욱 심각한 점은 카드사와 이를 검사하고 감독해야 할 금융당국이 이 부분을 제대로 살피지 못할 정도로 허술하게 관리했다는 것이었다.

금융감독원은 최초 정보 유출부터 검찰에서 통보받기까지 1년이라는 기간 동안 적발하지 못했다.

최수현 금감원장은 최근 국회 정무위원회에 출석한 자리에서 "검찰에서 공식발표 이틀 전에 처음 보고를 받았다"면서 "그 전까지 금감원은 솔직히 몰랐다"고 시인하기도 했다.

◇금융당국의 조급한 사태 대응=사과보다는 어떤 정보가 유출됐는지를 일단 파악하는 게 일의 순서지만 금융당국은 사태가 벌어지자 카드사를 앞세워 사죄를 먼저 하도록 했다. 사태의 본질보다는 책임회피에 급급하다는 인상을 강하게 심었다.

사태 수습이 본격화되면서 금융당국은 '빨리 해결하겠다'는 조급증을 드러냈다. 금융위원회는 지난 17일 개인정보보호 정상화 태스크포스(TF)를 발족하면서 다음 달 중 대응방안을 내놓겠다고 밝혔다. 하지만 박 대통령이 해외 방중 "근본적이고 구체적인 문제를 파악해 재발방지 대책을 마련하라"고 지시하자 '징벌적 과징금 도입' '영업정지 기간 확대' 등을 골자로 하는 재발방지 대책을 부랴부랴 내놨다. 워낙 급하게 내놓다보니 과거에 나온 대책의 재탕 삼탕이라는 지적을 받았다. 본질적인 문제해결 보다는 보여주기식 대책이라는 비난을 받기도 했다.

유출된 정보로 인해 금전적 피해가 발생할 수 있다는 소위 '2차 피해' 논쟁에서도 금융당국의 대응은 능숙하지 못했다. 신제윤 금융위원장과 최수현 금융감독원장이 "2차 피해는 절대 없다"고 강조했지만 불안 심리를 되돌리기에는 역부족인 모습이다.

금융당국은 USB에 담아놓고도 1년이 지나는 동안 피해사례가 단 한 건도 없었다는 점을 근거로 2차 피해 가능성이 없다고 주장했지만 그동안 정보를 가만 놔뒀겠냐는 반론도 만만찮다.

금융위는 "피해가 발생하면 100% 보전해주겠다"며 자신만만한 모습을 보였다. 그러나 유출 가능성이 없다고 단정 지은 상황에서 소비자가 실제로 2차 피해를 입었다고 해도 보상 받기는 사실상 어렵다는 주장이 설득력을 얻고 있다.

◇개인정보 보호체계 바꾸는 계기 삼아야=사태 발생 이후 각계 관심은 대단했다. 금융당국은 해당 카드사에 대한 강력한 제재와 함께 고강도의 재발방지책을 내놨으며 박 대통령까지 나서 "정보유출 책임자를 찾아내 반드시 문책해야 한다"고 언급하기도 했다.

금융당국은 정보가 유출된 카드사에는 3개월의 영업정지, 앞으로 재발할 경우 매출의 최대 1%까지 징벌적 과징금을 부과하는 내용의 개인정보유출방지 종합대책을 마련했다. 지금까지는 고객정보 보호에 소홀히 한 금융회사에 대해서는 '경영유의' 정도의 가벼운 제재가 부과됐을 뿐이었다.

또 최근에는 개인정보의 불법 유통을 막기 위해 대출모집인뿐 아니라 보험사와 카드사의 보험상품 모집 행위도 3월 말까지 금지하는 내용의 추가 대책을 내놓았다. 보험사와 텔레마케팅 조직의 반발에도 무릅쓰고 불법 정보를 근절하겠다는 의지를 나타냈다. 이외에 검찰, 경찰은 불법개인정보 적발에 나섰고 안전행정부는 주민등록번호를 대체할만한 수단을 강구하기 시작했다.

국회 여야는 정무위원회 차원에서 카드사 정보유출 사태에 대한 국정조사를 실시하기로 합의했다.