Translate

2014년 1월 20일 월요일

카드사 개인 정보 유출 사고에 관한 잡담



 지난 1월 8일 창원 지방 검찰청 발표에 의해 드러난 KB 국민, 롯데, NH 카드의 정보유출 사건이 시간이 지나면서 점차 그 상세한 윤곽을 드러내고 있습니다. 일단 뉴스를 통해서 많이들 접하셨으리라 생각되지만 KB국민카드 고객 5천300만명, NH농협카드 고객 2천500만명, 롯데카드 고객 2천600만명 등 1억400만명의 인적 사항 가운데 유출된 것이 단순히 이름이나 주민등록 번호 같은 이제는 공공재 (?) 가 된 자료 만이 아니라는 사실이 충격입니다. 


 - 생각보다 광범위한 자료 유출 


 각 카드사 정보를 조회해 보면 이름과 주민등록 번호 외에도 전화번호, 주소, 주거 상황, 직장 주소, 직장 정보, 연소득, 이용 실적, 결제 계좌, 결제일, 신용한도 금액, 신용등급 등 아주 민감한 자료가 들어 있을 뿐 아니라 롯데/농협카드 일부 회원은 카드 번호 및 유효기간 까지 같이 유출된 것이 드러나 충격을 주고 있습니다. 




 모든 것이 다 노출된 고객의 경우 카드를 해지한 후 재발급을 받아야 만약에 있을 지 모르는 추가 피해를 막을 수 있지 않을까 싶네요. 거의 타인을 사칭해서 거래를 할 수 있는 자료가 대부분 들어있는 셈이니 말이죠. 아무리 원본 파일을 압수했다고 해도 과연 유출이 되지 않았는지는 100% 장담할 수는 없는 일입니다. 범인들은 여죄를 추궁당하기 싫어서라도 더 이상 팔거나 유출되지 않았다고 할테니 말이죠. 


 한편 유출 자료는 평소에 과다한 개인 정보 수집의 폐해를 보여주는 사례로 생각됩니다. 개인의 연소득이나 신용 등급, 신용 한도 금액, 직장 등의 정보는 피싱이나 스미싱에 매우 좋은 소재로 맞춤형 범죄를 가능케 할 수 있습니다. (예를 들어 신용등급 회복 위원회입니다. 하는 식의 사기 전화.... ) 또 일부에서는 타인이 내 카드를 재발급 받는 황당한 상황도 우려 됩니다. 


 이 정도 수준이면 검찰 발표대로 더 유출이 되지 않았기 만을 빌수 밖에요. 


 - 정보 유출 피해자 대부분은 신용카드 고객이 아니다.  


 금융 당국과 카드사에 의하면 이번 사태의 피해자 가운데 사망자와 법인을 제외하면 실제 피해자 수는 8245 만명이라고 합니다. 그런데 이 중 카드 회원 (체크 카드도 물론 포함) 은 3465 만명이며 나머지 4780 만명은 카드를 사용하지 않는 고객이었습니다. 이 중에는 회원을 탈퇴했거나 카드를 가지고 있지 않은 은행 고객, 그리고 심지어 카드를 신청했다가 발급 심사에에서 탈락한 사람까지 포함하고 있다고 합니다. 따라서 카드를 없앴거나 과거 카드 발급이 안 된 경우, 그리고 해당 기관의 은행 고객도 유출 여부를 확인하는 것이 좋겠습니다.




 특히 KB 카드의 경우 4300 만명에 달하는 실 유출 피해자 가운데 1150 만명은 국민 은행 고객인 것으로 드러나 더 큰 충격을 주고 있습니다. 이 정도면 카드사 개인 정보 유출 사고가 아니라 금융사 개인 정보 유출 사고로 명칭도 바꿔야 하지 않을까 싶네요. 국민카드의 경우 4320 만명 피하자 중 현재 카드를 가진 회원은 950 만명이 불과하며 1150 만명은 국민은행 고객, 나머지 2220 만명은 이미 탈퇴한 회원 등이었다고 합니다. 


 이런 사정은 농협 카드도 다르지 않아서 피해자 2165 만명 가운데 실제 신용카드 회원은 730 만명 수준이고 815 만명이 체크카드 회원, 이미 탈퇴했거나 심사에서 탈락한 사람이 620 만명이라고 합니다. 롯데카드의 경우 1760 만 피해자 가운데 현재 카드 회원은 970 만명이며 590 만명은 이미 탈퇴한 회원이라고 합니다. 그리고 실제 카드 유효기간이 지난 회원도 200 만명 정도라고 합니다. 따라서 실제로는 카드를 현재 사용하지 않는 사람의 개인 정보가 대량으로 유출된 셈입니다. 


 따라서 현재 신용 카드 사용 여부와 관계없이 이전에 사용했거나 신청만 했던 경우 그리고 은행 고객인 경우에는 정보를 꼭 조회해 볼 필요가 있을 것 같습니다. 


 - 왜 탈퇴 회원 정보도 보관하나 


 또 한가지 짚고 넘어갈 점은 카드사들이 탈퇴한 회원들의 정보를 삭제하지 않고 친절하게 보관했다가 이를 해커나 대출 모집인들이 편리하게 사용할 수 있도록 유출시켰다는 것입니다. 이는 개인 정보 보호법 21 조와 대치되는 내용입니다. 


  제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.


 그런데 여기서 1 항에서 개인 정보의 파기 시점을 '불필요하게 되었을 때' 로 규정하고 있는 것이 문제입니다. 즉 탈퇴해도 우리는 개인정보가 필요하다면 파기 시점은 탈퇴의 시점이 아닐 수 있겠죠. 더구나 신용 정보 이용 및 보호에 관한 법률 20 조에는 


  제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) ① 신용정보회사등은 신용정보의 수집·처리 및 이용 등에 대하여 금융위원회가 정하는 바에 따라 내부관리규정을 마련하여야 한다.
② 신용정보회사등은 다음 각 호의 사항에 대한 기록을 3년간 보존하여야 한다.
1. 의뢰인의 주소와 성명 또는 정보제공·교환기관의 주소와 이름
2. 의뢰받은 업무 내용 및 의뢰받은 날짜
3. 의뢰받은 업무의 처리 내용 또는 제공한 신용정보의 내용과 제공한 날짜
4. 그 밖에 대통령령으로 정하는 사항
③ 신용정보회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공·이용자는 신용정보를 보호하고 신용정보와 관련된 신용정보주체의 고충을 처리하는 등 대통령령으로 정하는 업무를 하는 신용정보관리·보호인을 1명 이상 지정하여야 한다.
④ 제3항에 따른 신용정보관리·보호인의 자격요건과 그 밖에 지정에 필요한 사항은 대통령령으로 정한다.
⑤ 「금융지주회사법」 제48조의2제4항에 따라 선임된 신용정보관리인이 제4항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리·보호인으로 본다.


 로 아주 자세한 개인정보를 3 년간 보존하라고 되어 있습니다. 물론 이는 신용카드와 관련된 법적 분쟁의 소지를 없애기 위한 것이긴 한데 관련법들이 아주 제각각으로 놀고 있다는 사실을 알 수 있습니다.


 개인 정보 삭제의 시점을 탈퇴 후 1 년 이내 등으로 정하든지 확실한 규정을 마련하지 않는다면 한번 신청만 해도 (카드 발급 여부와 관계 없이) 내 개인정보는 해커들의 먹이감이 될 수 있는 셈입니다. 반드시 해당 법령의 개정이 이뤄져야 할 것으로 보입니다.  


- 정보 유출 정보는 대부분 우편 및 이메일로 통보 (피싱 사기 주의) 


 그런데 이 와중에 고객님 개인 정보가 유출되었다면서 친철하게도 전화로 피싱을 하는 해커들이 있습니다. KB국민카드는 1588-1688, 롯데카드는 1588-8100 이 공식 번호이며 NH농협카드는 e메일과 우편으로만 알려주기로 했기 때문에 이런 전화는 거의 100% 사기입니다. 특히 현재는 각 회사들이 밀려드는 고객 전화로 자신들이 전화를 할 여유가 전혀 없으므로 이런 전화나 문자가 올 가능성은 없습니다. 특히 카드사나 은행은 URL 이 포함된 문자나 이메일을 보내는 경우도 거의 없으므로 이상한 사이트로 유도하는 경우 무시하시기 바랍니다. 



 - 16 개 금융회사에서 127 만건의 자료가 추가 유출 


 이번 사건을 조사 중인 금융 감독원은 19 일 브리핑을 통해서 불법 대출 모집인의 USB 에 수록된 정보에서 이번 카드 3 사외 16 개 회사에서 유출된 것으로 보이는 127 만건의 개인 정보도 같이 발견했다고 합니다. 중복등을 제외하면 실제 고객수는 65 만명에 달한다고 하네요. 이 정도도 상당한 숫자이지만 카드 3 사의 개인 정보 유출수가 너무 천문학적이라서 이슈가 되진 않고 있습니다. 다행히 유출된 정보는 성명, 전화번호, 직장명 등 비교적 단순 정보 (?) 라고 합니다. 


 현재까지 정보 유출이 확인된 회사는 씨티은행(3만4000건), SC은행(10만3000건) 인데 나머지 14 개 회사는 어디서 새어 나갔는지 현재 확인 중에 있다는 게 금감원의 설명입니다. 




 암튼 이 정도면 금융 거래 때 마다 잔뜩 Active X 깔아가면서 보안 유지하는 게 정말 필요한 가 하는 생각입니다. 뭔가 보안 모듈 만드는 회사랑 공인인증서 파는 회사들만 득보는 시스템 아닌가 하는 생각입니다. 


 - 이 와중에 유료 정보 보호 서비스 ? 


 한편 이 상황에서 카드사들이 유료 신용 정보 서비스를 다시 판매하려고 해서 논란이 일고 있습니다. 고객 개인 정보 보호는 당연히 카드사나 금융사가 제공해야 할 서비스인데 이를 유료로 판매하는 것은 결국 그 책임과 비용을 고객에게 전가한다는 것이죠. 더구나 금융사들에서 엄청난 수의 고객 정보가 유출된 지금 시점에는 도의적 책임론이 거세게 일고 있습니다. 일단 금감원은 이를 자제하도록 주의를 줬지만 나름 돈이 되는지 몇몇 회사들은 앞으로도 판매할 생각이 있어 보입니다. 


 - 누가 책임지나 ? 


 일단 일이 이렇게 커지자 KB 금융, 국민은행, 국민카드 경영진 27 명이 일괄 사의를 표명했습니다. 이들은 임영록 회장에서 사표를 제출한 것으로 20일 알려졌습니다. 특히 국민카드의 경우 2011 년 3월 은행에서 분리되면서 은행 고객 자료를 그대로 가져왔기 때문에 그 정보가 같이 유출된 것으로 드러나 그 책임이 모두에게 있다고 봐야 할 것 같습니다. 농협 카드 역시 손경익 사장이 스스로 물러나기로 결정했다고 하네요. 한편 이번 사태의 근원지인 KCB 역시 임원들이 일괄 사퇴하기로 했다고 합니다.





 물론 도의적인 관점에서 봤을 때 당연한 조치 같기는 하지만 중요한 것은 역시 2차 피해 방지와 재발 방지가 아닌가 하는 생각입니다. 한편 카드 3 사는 이번 사태로 인한 카드 부정 사용 등 고객 피해를 전액 보상하겠다고 나섰습니다. 과연 어떨지는 두고봐야 겠죠.


 - 현재 진행형인 사건 


 아직도 수사가 진행 중이라 위에 적은 내용들은 모두 앞으로 변경될 수도 있는 내용입니다. 특히 피해자 수에 대해서도 시시각각 발표가 약간씩 차이가 나고 심지어 조회에서 드러난 정보 유출 내역까지 바뀌는 등 일부에서는 혼선이 지속되고 있습니다. 이번 사태로 인한 후폭풍은 아마 한동안 지속될 것으로 보입니다. 


 아무튼 꽤 충격적인 정보 유출 사고로 인해 금융사를 비롯한 기업들이 보관하는 고객 정보가 아주 쉽게 털릴 수 있다는 사실이 확실해진 셈입니다. 이 문제가 단순히 한국만의 문제는 아니겠지만 특히 한국에서 문제가 되는 이유는 너무 다양한 개인정보를 수집하고 삭제도 하지 않기 때문이 아닌가 하는 생각입니다. 


 이는 한국만의 아주 독특한 규제들과 서로 충돌하는 법규 (위에서 예로 든 개인 정보 보호법과 신용 정보 이용 및 보호에 관한 법. 하나는 개인 정보를 가능한 빨리 없애야 하는 것처럼 말하고 다른 하나는 3 년간 의무 보존을 명령하고 있음), 그리고 낮은 보안의식등이 같이 만들어낸 합작품이라고 할 수 있습니다. 


 개인적으로 세계에서 유래를 찾아보기 힘든 보안 모듈과 공인 인증서에도 불구하고 여기저기서 개인 정보가 줄줄이 다 새어나가 피싱, 스미싱에 각종 금융 사기가 활개를 치는 것은 아무래도 보안 의식 자체가 구시대적이기 때문인 것 같습니다. 여기에 정부와 정치권의 규제 강박증과 인증 강박증 때문에 개인 정보를 어쩔 수 없이 보존해야 하는 것도 비켜갈 수 없는 문제의 핵심입니다. 


 결국 정부가 변하고 정치권이 바뀌고 그리고 회사들이 달라지지 않으면 이런 문제는 앞으로도 계속 생길 수 밖에 없어 보입니다.   




댓글 없음:

댓글 쓰기