카드사 정보유출 3곳은 뚫렸는데 2곳은 멀쩡했던 까닭

금감원, 금융사 집중 검사키로

[아시아경제 이현주 기자] 사상 최대 규모의 신용카드 고객 정보 유출 사태 속에서 카드사들의 희비가 엇갈렸다. 카드사들의 고객 정보를 유출한 신용정보회사 코리아크레딧뷰로(KCB) 직원은 정보 유출 사고가 난 롯데·KB국민·NH농협카드 외에도 신한·삼성카드에서도 파견 업무를 진행했지만 두 카드사는 피해가 없었기 때문이다. 이들 카드사는 자체적으로 도입한 내부 보안장치로 정보 유출을 방지할 수 있었다.

9일 창원지검 특수부에 따르면 KCB 직원 박모씨는 파견된 카드사에 업무를 진행하던 중 개인 컴퓨터를 이용해 작업하면서 자신의 이동식저장장치(USB)에 해당 카드사의 고객 정보를 불법 복사했다.

박씨는 이 과정에서 KB국민카드 약 5300만명, 롯데카드 약 2600만명, NH농협카드 약 2500만명 등 총 1억400만여명 고객의 개인정보를 불법 수집했다. 고객 정보에는 고객의 성명, 휴대전화번호, 직장명, 주소 등 인적사항과 함께 신용카드 사용 등과 관련한 신용정보도 일부 포함돼 있었다. 박씨는 해당 고객 정보를 대출광고업자와 대출모집인에게 넘겼다.

박씨가 이처럼 고객 정보를 쉽게 빼돌릴 수 있었던 것은 부정사용방지시스템(FDS)을 만들기 위해서는 고객 정보를 활용해야 하기 때문이다. FDS는 고객의 평소 카드 사용행태를 분석해 이상 거래가 나타나면 카드 승인을 거부하는 시스템이다. 예를 들면 출국 기록이 없는데 갑자기 해외에서 거액의 카드 승인이 발생했을 경우 이를 차단할 수 있도록 하는 것이다.

KCB는 사고가 발생한 롯데·KB국민·NH농협카드사 외에 신한·삼성카드에서도 보안 시스템 작업을 진행했다. 그러나 박씨는 이들 카드사로부터는 개인정보를 빼내는 데 실패했다. 신한·삼성카드는 내부 보안장치로 유출을 차단했기 때문이다.

신한카드의 경우 외부업체 직원이 자사의 데이터를 이용해 작업을 할 경우 가상 데이터로 작업을 한다. 고객들의 실제 정보가 들어있는 데이터를 직접적으로 이용하지 않는 것이다. 기본적으로 모든 작업 컴퓨터마다 암호화 시스템이 탑재돼 있어 외부 반출 등이 불가능하다.

삼성카드는 개인용 컴퓨터 보안툴을 도입해 이동식 저장매체(USB)에 정보 저장을 할 수 없고 문서암호화솔루션을 도입해 외부로 메일을 발송할 때 파일을 열람할 수 없도록 했다. 또 외부 개발자가 프로젝트를 마치면 사용한 컴퓨터에 대해 포맷전문소프트웨어를 이용해 포맷 작업을 실시한다.

그러나 KB국민카드는 지난해 8월 중순 예정됐던 FDS 가동이 지연되는 등 개발 단계에서 문제가 발생해 실질적인 FDS가 구축되기 전 고객 정보가 빠져나갔다. 롯데카드는 작업 당시 '차세대 전산시스템' 작업이 동시에 이뤄져 외부 인력 관리를 소홀히 한 것으로 알려졌다.

이번 사건과 관련해 금융당국은 해당 카드사에 대해 특별검사에 돌입했다. 금융위원회는 금융감독원 검사에서 드러난 위법 사항에 대해 일벌백계 차원에서 엄중 제재할 방침이다.

금융당국 관계자는 "고객 개인 정보가 유출될 때까지 금융회사의 내부통제 장치와 정보보호가 제대로 운용되고 있었는지 집중 검사할 것"이라고 말했다.

전자금융거래법과 전자금융감독규정에 의하면 권한이 없는 자가 무단으로 정보를 유출하면 전자금융거래법 위반으로 신용카드업자에 대해서는 영업정지를, 임직원에게는 해임권고 등 중징계가 가능하다. 특히 금융당국은 이번 사건에 관해 최고 관리자에게도 전산자료 보호 등 금융거래의 안전성 의무를 다했는지 철저히 책임을 묻겠다고 밝혔다.



이현주 기자 ecolhj@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

이현주 기자 ecolhj@asiae.co.kr
<ⓒ아시아 대표 석간 '아시아경제' (www.newsva.co.kr) 무단전재 배포금지>