금융권에서 개인정보 유출 사고가 반복적으로 터지는 가장 큰 이유는 금융회사들이 기본적으로 너무 많은 개인정보를 수집하고 있기 때문이다. 동아일보 취재 결과, 금융당국은 금융사들이 얼마나 많은 개인정보를 갖고 있는지 실태조차 파악하지 못한 것으로 나타났다. 금융당국은 지난달 22일 개인정보 유출 방지 대책을 내놓으면서 금융사들이 최대 50개 항목의 개인정보를 수집한다고 발표했지만, 이번에 사고가 터진 롯데카드만 해도 100여 개 항목에 이르는 개인정보를 모으는 것으로 드러났다.
금융사는 당신의 모든 정보를 알고 있다
금융사가 개인정보를 수집하는 수준은 폭식을 넘어 중독 수준에 이르렀다고 해도 과언이 아니다. 수집 단계에서 발생한 문제점이 관리공유삭제 단계를 거치면서 계속 커져 개인정보 유통 전체를 왜곡시키는 채찍효과(Bullwhip effect)를 불러오고 있다. 한 제2금융권 회사 관계자는 정보가 많으면 어떤 식으로든 활용이 가능할 것이라는 잘못된 생각이 업계 전체에 퍼져 있다며 금융사가 각종 경품응모 행사 등을 벌이는 것도 결국 개인정보를 모으기 위한 수단이라고 토로했다.
카드사는 한 인간의 일생을 관통하는 모든 개인정보와 신용정보는 물론이고 지금 어디서 무엇을 하는지까지 낱낱이 알 수 있다. 롯데카드가 자사 홈페이지를 통해 수집 가능하다고 밝힌 개인정보 항목은 94개다. 이름, 주민등록번호, 주소 등 개인식별 정보는 물론이고 재산, 납세실적, 국민건강보험 납부실적도 모은다. 가족카드를 만들 때는 가족의 개인정보와 자녀생일, 결혼기념일까지 써 낸다. 스마트폰 애플리케이션 이용 고객에게는 접속일시와 단말기 모델명, 위치기반서비스 사용시각장소까지 수집한다. KB국민카드와 NH농협카드 등은 물론 여타 카드사 역시 일부 항목에서 차이가 날 뿐, 개인정보를 대량 수집하는 상황은 큰 차이가 없다.
관리, 유통도 엉망 정보 다이어트 필요
문제는 과도하게 수집한 민감한 개인정보들을 금융사들이 제대로 관리하지 않고, 외부 업체들과 함부로 공유한다는 점이다.
이번 신용카드 정보 유출 사태의 가장 큰 특징은 이름, 주소 등 일반 정보와 주민등록번호, 카드번호 등 민감한 정보가 한꺼번에 유출됐다는 점이다. 금융권에서 일반 정보와 민감 정보를 별도로 분리해 관리하는 것은 기본 원칙이지만, 이들 카드사는 이를 지키지 않고 서버 한 곳에서 통합적으로 정보를 다루다 사고를 냈다. 금융권의 한 보안 담당자는 고객정보를 분리해 암호화만 했어도 유출 피해를 최소화할 수 있었을 것이라고 말했다.
카드사들은 개인정보를 상품서비스 안내 및 권유 사은판촉행사 등에 쓸 수 있다고 명시한 약관을 근거로 많게는 500여 개 제휴업체들과 고객정보를 공유한다. 금융사가 아무리 보안을 강화해도 제휴업체로 넘어간 정보까지 통제하는 것은 불가능하다. 롯데그룹에서 신동빈 회장이 나서 정보보호 강화 대책을 내놓는 등 각 회사마다 자체 점검에 나서고 있지만, 대량 정보수집공유의 악순환 고리를 끊지 않고서는 근본적인 문제 해결은 어려울 것이라는 지적이 나오고 있다.이상훈 기자 january@donga.com
About Dong-A Ilbo