'카드유출 1년'…정부·업계 난리쳐도 국회가 법 깔고 앉아

1억400만건의 카드사 고객개인정보 유출로 한국 금융업계가 발칵 뒤집힌 지 오는 8일로 만 1년째다. 지난해 1월 8일 창원지방검찰청은 KB국민ㆍNH농협ㆍ롯데카드의 개인정보 약 1억건이 신용정보조회회사 코리아크레딧뷰로(KCB) 소속 외부 파견 직원을 통해 유출됐다고 발표하면서 사건의 전모가 드러나기 시작했다. 지난 1년 동안 카드사를 비롯한 금융사와 금융당국은 재발방지를 위해 각종 제도를 정비하고 법률 개정안을 새롭게 도입했다. 표면적으로는 많은 것이 변했다. 그러나 사상 최대 정보유출 사태로 꼭 교통정리가 필요했던 법률 개정안들은 아직도 국회에 발목이 붙잡혀 있어 '용두사미'로 끝나는 것 아니냐는 우려도 나오고 있다. 이에 지난 1년간 카드정보 관리체계에서 변한 것과 변하지 않은 것을 2회에 걸쳐 살펴본다. <편집자 주>

① 변한 것과 변하지 않은 것

[아시아경제 이현주 기자] # 중견 제조업체 최모 부장은 최근에도 휴대전화로 대부업체들의 대출광고 문자가 들어오면 찜찜하기만 하다. 작년 이 맘때 거래하던 신용카드사에서 본인의 주민번호와 계좌번호까지 모두 유출된 이후 자칫 사기 등에 활용될 수 있다는 불안감이 여전하기 때문이다. 인증수단 강화 등 금융사들이 재발방지를 위해 노력하고 있지만 1년이나 된 지금도 관련 법률들이 국회에서 통과되지 못하고 있다는 소식에 실망스럽기만 하다.

5일 금융업계에 따르면 지난해 1월 고객개인정보가 유출된 3개 카드사는 신용ㆍ체크카드 고객 뿐 아니라 은행 고객과 이미 탈회한 고객 정보 등도 다수 포함돼 있었다. 충격적이었던 것은 성명ㆍ주민번호ㆍ주소ㆍ휴대전화번호 등 개인정보와 결제계좌ㆍ연소득 등 신용정보까지 유출됐다는 점이다. 불행 중 다행으로 비밀번호와 본인인증코드(CVC)는 유출되지 않아 2차 피해를 줄일 수 있었다. 금융감독원이 검찰로부터 원본자료를 넘겨받아 확인한 결과 사망자, 기업, 가맹점 등을 제외하고 정보유출 건수는 3개사 합계만 약 8700만건 수준이었다.

카드정보 유출 사태 이후 금융업계 전반적으로 내부 개인신용정보에 대한 철저한 관리가 이어지면서 신용정보주체의 자기결정권이 강화된 것은 큰 소득이었다. 신용카드를 만들 때 의례적으로 표기하고 지나쳤던 개인정보이용 동의 부분에서 이용ㆍ제공 목적, 처리기간ㆍ방법, 동의하지 않을 권리 등을 고지하도록 의무화 했다. 신용정보의 이용 및 보호에 관한 법률은 신용정보 보호 및 처리에 관한 법률로 제명이 변경됐으며 신용정보의 보호와 정보주체의 권리보장에 관한 사항을 법 앞부분에, 신용정보업에 관한 사항을 뒷부분에 규정하면서 중요도의 차이를 뒀다.

주민등록번호 유출로 인한 소비자들의 불안감이 확산되면서 이를 대신할 인증 수단도 차례로 등장했다. 신용카드 신규 가입시 이제는 주민번호가 아니라 자동전화연결(ARS) 인증이나 신청번호 등을 문자메시지로 받아 이를 기입한다. 단, 휴대전화가 없는 사람은 원천적으로 가입이 차단된다는 한계가 있다.

현재 전 금융사는 최고정보관리책임자(CIO)와 최고정보보호책임자(CISO)를 분리해 운영하고 있다. 정보유출 사태 이전만 하더라도 CIO와 CISO의 구분이 명확하지 않았고 한 사람이 겸직하는 경우가 많았다. 그러나 겸직을 금지하면서 금융사의 정보보호에 대한 의무를 더욱 강화했다.

아울러 여신금융업법 개정을 통해 신용카드 단말기를 가맹점에 제공하고 결제시 카드사와 상점을 이어주는 역할을 하는 '부가통신사업자(VAN)' 등록제를 도입했다. 앞으로 금융당국에서 VAN사를 관리하게 된다. 카드 개인고객정보가 유출될 수 있는 곳을 원천 차단한다는 당국의 의지가 반영됐다.

한편 최근에는 보안성보다는 편이성에 초점이 맞춰지고 있다. 공인인증서 사용에 대한 불편함이 계속 제기되면서 사용 의무가 폐지됐다. ARS방식이나 아이디와 비밀번호만 입력하면 결제가 진행되는 '간편결제'를 각 카드사 별로 우후죽순으로 도입하고 있다. 이에 대해서는 강력한 사후제재가 필요하다는 의견에 무게가 실리고 있다.

김인석 고려대 정보보호대학원 교수는 "징계 강도가 높아지다 보니 강압적으로 정보보안에 대한 대책을 구축하고 있는데 이는 한계가 있기 때문에 자발적인 태도가 필요하다"면서 "간편결제의 경우 부정사용이나 부정결제 등 사고가 발생하면 카드사들에 상당한 부담이 될 가능성이 크고 간편결제를 주도한 금융당국도 책임론을 피해갈 수 없을 것"이라고 말했다.