뉴스 트렌드 생활정보 International edition 매체

‘고객정보 1억건 유출’ 1년… 카드사 배상 미루고 법안은 낮잠

입력 | 2015-01-09 03:00:00

금융권 보안 대폭 강화했지만 개인정보 노린 신종범죄 기승




아, 또 암행감찰 떴어.”

현대카드 직원 김모 씨는 최근 점심을 먹느라 사무실을 비웠다가 보안위반에 걸렸다. 김 씨의 PC 모니터에는 차압 딱지처럼 커다랗게 ‘보안위반 경고장’이라고 쓰인 스티커가 붙었다. 사유는 문서 방치. 점심 약속에 늦을까 서둘러 자리를 뜨느라 책상 위에 작업 중이던 문서를 놓고 나갔는데, 정보보안팀 직원의 불시점검에 딱 걸린 것이다. 3번째 경고장을 받은 김 씨는 토요일에 출근해 4시간 동안 정보보안 교육도 받아야 한다.

지난해 1월 8일 검찰이 KB국민·롯데·NH농협카드 3사의 고객 정보 1억400만 건이 유출됐다는 수사결과를 발표한 지 꼭 1년이 됐다. 카드사들은 1년 동안 정보보안 시스템을 재정비하느라 분주했다. 금융당국도 주민등록번호 수집 금지 등 여러 재발 방지 대책을 내놓았다. 하지만 크고 작은 개인정보 유출 사고가 이어지는 등 허점은 여전히 메워지지 않고 있다. 재발 방지를 위해 정부가 제출한 관련 법 개정안도 국회에서 잠자고 있다.

○ 정보보호 강화에 나선 카드업계


“요즘 같은 때엔 고객 정보 딱 5건만 유출돼도 모가지 날아갈걸요.” 정보 유출 사고 이후 달라진 점을 묻자 국내 카드사 정보보안 담당 임원은 이렇게 말했다.

사고 이후 고객 정보가 유출된 3개 카드사가 보안 관련 예산을 늘리는 등 여론의 뭇매를 맞은 카드사들은 앞 다퉈 보안을 강화했다. 카드사에 침입해 고객 정보를 빼내긴 대단히 어려워졌다. 건물 출입문에는 금속탐지기와 엑스레이가 설치됐다. 노트북이나 전자기기에 고객 정보를 담아 빼돌리는 것을 차단하기 위해서다. KB국민카드의 전산개발인력 PC에는 모니터만 있고 본체가 없다. ‘제로PC’ 시스템으로 본체는 따로 모아 중앙에서 관리하기 때문에 이동식저장장치(USB)에 자료를 담는 것 자체가 불가능하다.

직원들의 PC도 이중삼중으로 체크하고 있다. 현대카드 직원들은 사무실 PC에 접속할 때마다 일회용 비밀번호(OTP·One Time Password) 생성기로 비밀번호를 받아 입력해야 한다. 최근에는 정보 유출을 최소화하기 위해 아예 종이 출력을 줄이는 ‘제로 A4’ 캠페인까지 벌이고 있다.

사고 이후 카드사들이 앞다퉈 정보보안 전문가를 영입해 관련 전문가들의 몸값도 올랐다. 삼성카드는 한국인터넷진흥원의 전신인 한국정보보호진흥원 해킹 대응팀장을 지낸 성재모 상무를 정보보호최고책임자(CISO)로 영입했다. NH농협카드와 롯데카드도 각각 남승우 전 신한카드 IT본부장과 최동근 롯데정보통신 이사를 CISO로 선임했다.

관련 제도 변화도 있었다. 우선 올해부터 카드 가입신청서에서 주민등록번호 기입란이 사라졌다. 대신 자동응답전화(ARS) 등을 통해 본인 인증을 거치도록 했다. 고객이 전화 한 통으로 텔레마케팅 전화를 거부할 수 있는 ‘두낫콜’ 서비스도 도입됐다.

○ 정보 유출 사고는 ‘현재진행형’


금융회사들의 노력에도 정보 유출로 인한 금융사기가 여전히 기승을 부리고 있다. 특히 최근에는 스마트폰을 이용한 ‘스미싱’ 등 진화한 수법의 정보 유출 사고도 일어나고 있다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지 내의 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치돼 공인인증서와 개인정보가 빠져나가는 사기수법이다. 지난해 5월 삼성카드 앱카드 명의 도용 사건도 스미싱 이용한 것으로 파악됐다.

정보 유출 사태와 관련한 법 개정안은 여전히 국회 정무위원회에 계류 중이다. 법 개정의 핵심으로, 제3자 및 계열사 정보 제공을 제한하고 정보 유출 시 징벌적 과징금을 물도록 한 ‘신용정보의 이용 및 보호에 관한 법률(신용정보보호법) 개정안’은 1년 가까이 국회에서 잠자고 있다.

정보 유출 피해 고객들이 제기한 소송도 여전히 진행되고 있다. 1년 전 고객 정보 유출 피해를 입은 이들이 해당 카드사들을 대상으로 제기한 손해배상 청구 소송은 현재 1심이 진행 중이다. 소송을 대리하는 법무법인 바른의 장용석 변호사는 “카드사들이 기일을 미루는 등 소송을 지연시키고 있어 판결이 나오려면 시일이 걸릴 것으로 보인다”고 말했다.

신민기 기자 minki@donga.com