기본 콘텐츠로 건너뛰기

카드사 개인 정보 유출 사고에 관한 잡담



 지난 1월 8일 창원 지방 검찰청 발표에 의해 드러난 KB 국민, 롯데, NH 카드의 정보유출 사건이 시간이 지나면서 점차 그 상세한 윤곽을 드러내고 있습니다. 일단 뉴스를 통해서 많이들 접하셨으리라 생각되지만 KB국민카드 고객 5천300만명, NH농협카드 고객 2천500만명, 롯데카드 고객 2천600만명 등 1억400만명의 인적 사항 가운데 유출된 것이 단순히 이름이나 주민등록 번호 같은 이제는 공공재 (?) 가 된 자료 만이 아니라는 사실이 충격입니다. 


 - 생각보다 광범위한 자료 유출 


 각 카드사 정보를 조회해 보면 이름과 주민등록 번호 외에도 전화번호, 주소, 주거 상황, 직장 주소, 직장 정보, 연소득, 이용 실적, 결제 계좌, 결제일, 신용한도 금액, 신용등급 등 아주 민감한 자료가 들어 있을 뿐 아니라 롯데/농협카드 일부 회원은 카드 번호 및 유효기간 까지 같이 유출된 것이 드러나 충격을 주고 있습니다. 




 모든 것이 다 노출된 고객의 경우 카드를 해지한 후 재발급을 받아야 만약에 있을 지 모르는 추가 피해를 막을 수 있지 않을까 싶네요. 거의 타인을 사칭해서 거래를 할 수 있는 자료가 대부분 들어있는 셈이니 말이죠. 아무리 원본 파일을 압수했다고 해도 과연 유출이 되지 않았는지는 100% 장담할 수는 없는 일입니다. 범인들은 여죄를 추궁당하기 싫어서라도 더 이상 팔거나 유출되지 않았다고 할테니 말이죠. 


 한편 유출 자료는 평소에 과다한 개인 정보 수집의 폐해를 보여주는 사례로 생각됩니다. 개인의 연소득이나 신용 등급, 신용 한도 금액, 직장 등의 정보는 피싱이나 스미싱에 매우 좋은 소재로 맞춤형 범죄를 가능케 할 수 있습니다. (예를 들어 신용등급 회복 위원회입니다. 하는 식의 사기 전화.... ) 또 일부에서는 타인이 내 카드를 재발급 받는 황당한 상황도 우려 됩니다. 


 이 정도 수준이면 검찰 발표대로 더 유출이 되지 않았기 만을 빌수 밖에요. 


 - 정보 유출 피해자 대부분은 신용카드 고객이 아니다.  


 금융 당국과 카드사에 의하면 이번 사태의 피해자 가운데 사망자와 법인을 제외하면 실제 피해자 수는 8245 만명이라고 합니다. 그런데 이 중 카드 회원 (체크 카드도 물론 포함) 은 3465 만명이며 나머지 4780 만명은 카드를 사용하지 않는 고객이었습니다. 이 중에는 회원을 탈퇴했거나 카드를 가지고 있지 않은 은행 고객, 그리고 심지어 카드를 신청했다가 발급 심사에에서 탈락한 사람까지 포함하고 있다고 합니다. 따라서 카드를 없앴거나 과거 카드 발급이 안 된 경우, 그리고 해당 기관의 은행 고객도 유출 여부를 확인하는 것이 좋겠습니다.




 특히 KB 카드의 경우 4300 만명에 달하는 실 유출 피해자 가운데 1150 만명은 국민 은행 고객인 것으로 드러나 더 큰 충격을 주고 있습니다. 이 정도면 카드사 개인 정보 유출 사고가 아니라 금융사 개인 정보 유출 사고로 명칭도 바꿔야 하지 않을까 싶네요. 국민카드의 경우 4320 만명 피하자 중 현재 카드를 가진 회원은 950 만명이 불과하며 1150 만명은 국민은행 고객, 나머지 2220 만명은 이미 탈퇴한 회원 등이었다고 합니다. 


 이런 사정은 농협 카드도 다르지 않아서 피해자 2165 만명 가운데 실제 신용카드 회원은 730 만명 수준이고 815 만명이 체크카드 회원, 이미 탈퇴했거나 심사에서 탈락한 사람이 620 만명이라고 합니다. 롯데카드의 경우 1760 만 피해자 가운데 현재 카드 회원은 970 만명이며 590 만명은 이미 탈퇴한 회원이라고 합니다. 그리고 실제 카드 유효기간이 지난 회원도 200 만명 정도라고 합니다. 따라서 실제로는 카드를 현재 사용하지 않는 사람의 개인 정보가 대량으로 유출된 셈입니다. 


 따라서 현재 신용 카드 사용 여부와 관계없이 이전에 사용했거나 신청만 했던 경우 그리고 은행 고객인 경우에는 정보를 꼭 조회해 볼 필요가 있을 것 같습니다. 


 - 왜 탈퇴 회원 정보도 보관하나 


 또 한가지 짚고 넘어갈 점은 카드사들이 탈퇴한 회원들의 정보를 삭제하지 않고 친절하게 보관했다가 이를 해커나 대출 모집인들이 편리하게 사용할 수 있도록 유출시켰다는 것입니다. 이는 개인 정보 보호법 21 조와 대치되는 내용입니다. 


  제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.


 그런데 여기서 1 항에서 개인 정보의 파기 시점을 '불필요하게 되었을 때' 로 규정하고 있는 것이 문제입니다. 즉 탈퇴해도 우리는 개인정보가 필요하다면 파기 시점은 탈퇴의 시점이 아닐 수 있겠죠. 더구나 신용 정보 이용 및 보호에 관한 법률 20 조에는 


  제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) ① 신용정보회사등은 신용정보의 수집·처리 및 이용 등에 대하여 금융위원회가 정하는 바에 따라 내부관리규정을 마련하여야 한다.
② 신용정보회사등은 다음 각 호의 사항에 대한 기록을 3년간 보존하여야 한다.
1. 의뢰인의 주소와 성명 또는 정보제공·교환기관의 주소와 이름
2. 의뢰받은 업무 내용 및 의뢰받은 날짜
3. 의뢰받은 업무의 처리 내용 또는 제공한 신용정보의 내용과 제공한 날짜
4. 그 밖에 대통령령으로 정하는 사항
③ 신용정보회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공·이용자는 신용정보를 보호하고 신용정보와 관련된 신용정보주체의 고충을 처리하는 등 대통령령으로 정하는 업무를 하는 신용정보관리·보호인을 1명 이상 지정하여야 한다.
④ 제3항에 따른 신용정보관리·보호인의 자격요건과 그 밖에 지정에 필요한 사항은 대통령령으로 정한다.
⑤ 「금융지주회사법」 제48조의2제4항에 따라 선임된 신용정보관리인이 제4항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리·보호인으로 본다.


 로 아주 자세한 개인정보를 3 년간 보존하라고 되어 있습니다. 물론 이는 신용카드와 관련된 법적 분쟁의 소지를 없애기 위한 것이긴 한데 관련법들이 아주 제각각으로 놀고 있다는 사실을 알 수 있습니다.


 개인 정보 삭제의 시점을 탈퇴 후 1 년 이내 등으로 정하든지 확실한 규정을 마련하지 않는다면 한번 신청만 해도 (카드 발급 여부와 관계 없이) 내 개인정보는 해커들의 먹이감이 될 수 있는 셈입니다. 반드시 해당 법령의 개정이 이뤄져야 할 것으로 보입니다.  


- 정보 유출 정보는 대부분 우편 및 이메일로 통보 (피싱 사기 주의) 


 그런데 이 와중에 고객님 개인 정보가 유출되었다면서 친철하게도 전화로 피싱을 하는 해커들이 있습니다. KB국민카드는 1588-1688, 롯데카드는 1588-8100 이 공식 번호이며 NH농협카드는 e메일과 우편으로만 알려주기로 했기 때문에 이런 전화는 거의 100% 사기입니다. 특히 현재는 각 회사들이 밀려드는 고객 전화로 자신들이 전화를 할 여유가 전혀 없으므로 이런 전화나 문자가 올 가능성은 없습니다. 특히 카드사나 은행은 URL 이 포함된 문자나 이메일을 보내는 경우도 거의 없으므로 이상한 사이트로 유도하는 경우 무시하시기 바랍니다. 



 - 16 개 금융회사에서 127 만건의 자료가 추가 유출 


 이번 사건을 조사 중인 금융 감독원은 19 일 브리핑을 통해서 불법 대출 모집인의 USB 에 수록된 정보에서 이번 카드 3 사외 16 개 회사에서 유출된 것으로 보이는 127 만건의 개인 정보도 같이 발견했다고 합니다. 중복등을 제외하면 실제 고객수는 65 만명에 달한다고 하네요. 이 정도도 상당한 숫자이지만 카드 3 사의 개인 정보 유출수가 너무 천문학적이라서 이슈가 되진 않고 있습니다. 다행히 유출된 정보는 성명, 전화번호, 직장명 등 비교적 단순 정보 (?) 라고 합니다. 


 현재까지 정보 유출이 확인된 회사는 씨티은행(3만4000건), SC은행(10만3000건) 인데 나머지 14 개 회사는 어디서 새어 나갔는지 현재 확인 중에 있다는 게 금감원의 설명입니다. 




 암튼 이 정도면 금융 거래 때 마다 잔뜩 Active X 깔아가면서 보안 유지하는 게 정말 필요한 가 하는 생각입니다. 뭔가 보안 모듈 만드는 회사랑 공인인증서 파는 회사들만 득보는 시스템 아닌가 하는 생각입니다. 


 - 이 와중에 유료 정보 보호 서비스 ? 


 한편 이 상황에서 카드사들이 유료 신용 정보 서비스를 다시 판매하려고 해서 논란이 일고 있습니다. 고객 개인 정보 보호는 당연히 카드사나 금융사가 제공해야 할 서비스인데 이를 유료로 판매하는 것은 결국 그 책임과 비용을 고객에게 전가한다는 것이죠. 더구나 금융사들에서 엄청난 수의 고객 정보가 유출된 지금 시점에는 도의적 책임론이 거세게 일고 있습니다. 일단 금감원은 이를 자제하도록 주의를 줬지만 나름 돈이 되는지 몇몇 회사들은 앞으로도 판매할 생각이 있어 보입니다. 


 - 누가 책임지나 ? 


 일단 일이 이렇게 커지자 KB 금융, 국민은행, 국민카드 경영진 27 명이 일괄 사의를 표명했습니다. 이들은 임영록 회장에서 사표를 제출한 것으로 20일 알려졌습니다. 특히 국민카드의 경우 2011 년 3월 은행에서 분리되면서 은행 고객 자료를 그대로 가져왔기 때문에 그 정보가 같이 유출된 것으로 드러나 그 책임이 모두에게 있다고 봐야 할 것 같습니다. 농협 카드 역시 손경익 사장이 스스로 물러나기로 결정했다고 하네요. 한편 이번 사태의 근원지인 KCB 역시 임원들이 일괄 사퇴하기로 했다고 합니다.





 물론 도의적인 관점에서 봤을 때 당연한 조치 같기는 하지만 중요한 것은 역시 2차 피해 방지와 재발 방지가 아닌가 하는 생각입니다. 한편 카드 3 사는 이번 사태로 인한 카드 부정 사용 등 고객 피해를 전액 보상하겠다고 나섰습니다. 과연 어떨지는 두고봐야 겠죠.


 - 현재 진행형인 사건 


 아직도 수사가 진행 중이라 위에 적은 내용들은 모두 앞으로 변경될 수도 있는 내용입니다. 특히 피해자 수에 대해서도 시시각각 발표가 약간씩 차이가 나고 심지어 조회에서 드러난 정보 유출 내역까지 바뀌는 등 일부에서는 혼선이 지속되고 있습니다. 이번 사태로 인한 후폭풍은 아마 한동안 지속될 것으로 보입니다. 


 아무튼 꽤 충격적인 정보 유출 사고로 인해 금융사를 비롯한 기업들이 보관하는 고객 정보가 아주 쉽게 털릴 수 있다는 사실이 확실해진 셈입니다. 이 문제가 단순히 한국만의 문제는 아니겠지만 특히 한국에서 문제가 되는 이유는 너무 다양한 개인정보를 수집하고 삭제도 하지 않기 때문이 아닌가 하는 생각입니다. 


 이는 한국만의 아주 독특한 규제들과 서로 충돌하는 법규 (위에서 예로 든 개인 정보 보호법과 신용 정보 이용 및 보호에 관한 법. 하나는 개인 정보를 가능한 빨리 없애야 하는 것처럼 말하고 다른 하나는 3 년간 의무 보존을 명령하고 있음), 그리고 낮은 보안의식등이 같이 만들어낸 합작품이라고 할 수 있습니다. 


 개인적으로 세계에서 유래를 찾아보기 힘든 보안 모듈과 공인 인증서에도 불구하고 여기저기서 개인 정보가 줄줄이 다 새어나가 피싱, 스미싱에 각종 금융 사기가 활개를 치는 것은 아무래도 보안 의식 자체가 구시대적이기 때문인 것 같습니다. 여기에 정부와 정치권의 규제 강박증과 인증 강박증 때문에 개인 정보를 어쩔 수 없이 보존해야 하는 것도 비켜갈 수 없는 문제의 핵심입니다. 


 결국 정부가 변하고 정치권이 바뀌고 그리고 회사들이 달라지지 않으면 이런 문제는 앞으로도 계속 생길 수 밖에 없어 보입니다.   




댓글

이 블로그의 인기 게시물

통계 공부는 어떻게 하는 것이 좋을까?

 사실 저도 통계 전문가가 아니기 때문에 이런 주제로 글을 쓰기가 다소 애매하지만, 그래도 누군가에게 도움이 될 수 있다고 생각해서 글을 올려봅니다. 통계학, 특히 수학적인 의미에서의 통계학을 공부하게 되는 계기는 사람마다 다르긴 하겠지만, 아마도 비교적 흔하고 난감한 경우는 논문을 써야 하는 경우일 것입니다. 오늘날의 학문적 연구는 집단간 혹은 방법간의 차이가 있다는 것을 객관적으로 보여줘야 하는데, 그려면 불가피하게 통계적인 방법을 쓸 수 밖에 없게 됩니다. 이런 이유로 분야와 주제에 따라서는 아닌 경우도 있겠지만, 상당수 논문에서는 통계학이 들어가게 됩니다.   문제는 데이터를 처리하고 분석하는 방법을 익히는 데도 상당한 시간과 노력이 필요하다는 점입니다. 물론 대부분의 학과에서 통계 수업이 들어가기는 하지만, 그것만으로는 충분하지 않은 경우가 많습니다. 대학 학부 과정에서는 대부분 논문 제출이 필요없거나 필요하다고 해도 그렇게 높은 수준을 요구하지 않지만, 대학원 이상 과정에서는 SCI/SCIE 급 논문이 필요하게 되어 처음 논문을 작성하는 입장에서는 상당히 부담되는 상황에 놓이게 됩니다.  그리고 이후 논문을 계속해서 쓰게 될 경우 통계 문제는 항상 나를 따라다니면서 괴롭히게 될 것입니다.  사정이 이렇다보니 간혹 통계 공부를 어떻게 하는 것이 좋겠냐는 질문이 들어옵니다. 사실 저는 통계 전문가라고 하기에는 실력은 모자라지만, 대신 앞서서 삽질을 한 경험이 있기 때문에 몇 가지 조언을 해줄 수 있을 것 같습니다.  1. 입문자를 위한 책을 추천해달라  사실 예습을 위해서 미리 공부하는 것은 추천하지 않습니다. 기본적인 통계는 학과별로 다르지 않더라도 주로 쓰는 분석방법은 분야별로 상당한 차이가 있을 수 있어 결국은 자신이 주로 하는 부분을 잘 해야 하기 때문입니다. 그러기 위해서는 학과 커리큘럼에 들어있는 통계 수업을 듣는 것이 더 유리합니다...

9000년 전 소녀의 모습을 복원하다.

( The final reconstruction. Credit: Oscar Nilsson )  그리스 아테나 대학과 스웨덴 연구자들이 1993년 발견된 선사 시대 소녀의 모습을 마치 살아있는 것처럼 복원하는데 성공했습니다. 이 유골은 그리스의 테살리아 지역의 테오페트라 동굴 ( Theopetra Cave )에서 발견된 것으로 연대는 9000년 전으로 추정됩니다. 유골의 주인공은 15-18세 사이의 소녀로 정확한 사인은 알 수 없으나 괴혈병, 빈혈, 관절 질환을 앓고 있었던 것으로 확인되었습니다.   이 소녀가 살았던 시기는 유럽 지역에서 수렵 채집인이 초기 농경으로 이전하는 시기였습니다. 다른 시기와 마찬가지로 이 시기의 사람들도 젊은 시절에 다양한 질환에 시달렸을 것이며 평균 수명 역시 매우 짧았을 것입니다. 비록 젊은 나이에 죽기는 했지만, 당시에는 이런 경우가 드물지 않았을 것이라는 이야기죠.   아무튼 문명의 새벽에 해당하는 시점에 살았기 때문에 이 소녀는 Dawn (그리스어로는  Avgi)라고 이름지어졌다고 합니다. 연구팀은 유골에 대한 상세한 스캔과 3D 프린팅 기술을 적용해서 살아있을 당시의 모습을 매우 현실적으로 복원했습니다. 그리고 그 결과 나타난 모습은.... 당시의 거친 환경을 보여주는 듯 합니다. 긴 턱은 당시를 살았던 사람이 대부분 그랬듯이 질긴 먹이를 오래 씹기 위한 것으로 보입니다.   강하고 억센 10대 소녀(?)의 모습은 당시 살아남기 위해서는 강해야 했다는 점을 말해주는 듯 합니다. 이렇게 억세보이는 주인공이라도 당시에는 전염병이나 혹은 기아에서 자유롭지는 못했기 때문에 결국 평균 수명은 길지 못했겠죠. 외모 만으로 평가해서는 안되겠지만, 당시의 거친 시대상을 보여주는 듯 해 흥미롭습니다.   참고  https://phys.org/news/2018-01-te...

150년 만에 다시 울린 희귀 곤충의 울음 소리

  ( The katydid Prophalangopsis obscura has been lost since it was first collected, with new evidence suggesting cold areas of Northern India and Tibet may be the species' habitat. Credit: Charlie Woodrow, licensed under CC BY 4.0 ) ( The Museum's specimen of P. obscura is the only confirmed member of the species in existence. Image . Credit: The Trustees of the Natural History Museum, London )  과학자들이 1869년 처음 보고된 후 지금까지 소식이 끊긴 오래 전 희귀 곤충의 울음 소리를 재현하는데 성공했습니다. 프로팔랑곱시스 옵스큐라 ( Prophalangopsis obscura)는 이상한 이름만큼이나 이상한 곤충으로 매우 희귀한 메뚜기목 곤충입니다. 친척인 여치나 메뚜기와는 오래전 갈라진 독자 그룹으로 매우 큰 날개를 지니고 있으며 인도와 티벳의 고산 지대에 사는 것으로 보입니다.   유일한 표본은 수컷 성체로 2005년에 암컷으로 생각되는 2마리가 추가로 발견되긴 했으나 정확히 같은 종인지는 다소 미지수인 상태입니다. 현재까지 확실한 표본은 수컷 성체 한 마리가 전부인 미스터리 곤충인 셈입니다.   하지만 과학자들은 그 형태를 볼 때 이들 역시 울음 소리를 통해 짝짓기에서 암컷을 유인했을 것으로 보고 있습니다. 그런데 높은 고산 지대에서 먼 거리를 이동하는 곤충이기 때문에 낮은 피치의 울음 소리를 냈을 것으로 보입니다. 문제는 이런 소리는 암컷 만이 아니라 박쥐도 잘 듣는다는 것입니다. 사실 이들은 중생대 쥐라기 부터 존재했던 그룹으로 당시에는 박쥐가 없어 이런 방식이 잘 통했을 것입니다. 하지만...