[경제 카페]2년 넘도록 안고친 ‘정보 외양간’

김철중·경제부

“이건 절대 해킹 사고가 아닙니다. 서버가 뚫린 게 아니라 ‘누구나’ 쓸 수 있는 서비스를 악용했을 뿐입니다.”

기프트카드 정보 유출에 대한 취재에 나선 기자에게 해당 카드사 임원이 나타낸 반응이다. 설명을 들으니 이해가 가기는커녕 오히려 당황스러워졌다. 고도의 해킹 기술이 아니라 기초적인 수법에 당했다는 것을 카드사가 자백하는 꼴이었기 때문이다.

카드사 측은 도리어 “최신 이상징후감지시스템(FDS) 덕분에 고객 민원이 발생하기도 전에 해커들의 공격 사실을 알아차렸다”고 강변했다. 하지만 역설적이게도 그런 최첨단 시스템을 도입해 놓고도 누구나 할 수 있는 초보적인 공격은 막지 못했다. 이 카드사들은 CVC(유효성 확인 코드)를 여러 차례 잘못 입력했을 때 더 이상 사용하지 못하도록 막는 장치를 해놓지 않아 결국 수백 장의 고객 카드에서 3억 원이 넘는 돈이 빠져나간 사실도 모르고 있었다. ‘고객 편의’를 위한다는 명분으로 보안의 기본적인 절차조차 지키지 않은 결과였다.

2014년 1억 건이 넘는 개인정보가 카드회사를 통해 유출된 사건이 발생한 지 2년이 지났다. 하지만 금융회사들의 인식이 크게 개선되진 않은 것 같다. 심지어 이번 기프트카드 해킹 사건이 발생한 카드사의 한 임원은 “회사가 유출된 금액을 다 보상할 것이기 때문에 고객이 피해를 입은 게 아니다. 왜 이렇게 호들갑을 떠는지 모르겠다”는 반응을 보였다. 고객의 돈을 안전하게 관리하는 것을 최우선 과제로 삼는 금융회사 임원의 말이라고는 믿기 어려웠다. 금융회사에서 발생하는 정보 유출 사건의 본질은 실제 금전적인 피해 유무를 떠나 회사를 믿고 거래하는 고객과의 ‘신뢰’ 문제이기 때문이다.

최근 ‘핀테크’ 열풍에 따라 소비자의 편의성을 강조하는 문화가 퍼지면서 금융권의 보안 의식이 느슨해졌다는 지적도 있다. 불필요한 규제 완화, 정보기술(IT)을 활용한 금융 서비스 혁신은 반드시 필요하지만 이것이 자칫 소비자의 정보 보호를 등한시하는 결과로 이어진다면 2년 전과 같은 대형 사고가 언제든지 다시 발생할 수 있다는 점을 명심해야 할 것이다.

김철중·경제부 tnf@donga.com