피해 확인과정 본인 인증조차 허술… 정치-연예인 등 개인정보 추가유출

[1700만명 개인정보 털렸다]
정보관리 어떻게 하길래

KB국민 롯데 NH농협카드 등 3개 카드업체에서 1억580만 건의 개인정보가 유출된 가장 큰 원인은 이들 금융회사의 허술한 고객정보 관리에서 찾을 수 있다.

외부 용역업체 직원에게 개인정보에 직접 접근할 수 있도록 권한을 줬고, 휴대용 저장장치(USB 메모리)를 쓸 수 있게 하는 등 금융보안의 가장 기초적인 부분도 지켜지지 않았다.

심지어 정보유출 여부를 확인하는 과정에서조차 생년월일만 알면 정보 접근이 가능할 정도로 시스템을 허술하게 운영한 것으로 나타나 금융사의 개인정보 보호 인식에 근본적으로 문제가 있다는 비판이 나오고 있다.

○ “뒷문 열어놓고 앞문만 단속” 비판

이번 정보유출 사태는 카드사의 부실한 개인정보 관리 실태를 고스란히 보여준다. 해킹 등에 대비하는 ‘앞문 단속’만 요란했을 뿐 내부인을 통제하는 ‘뒷문 단속’에는 실패했다.

검찰에 구속된 신용정보업체 코리아크레딧뷰로(KCB) 차장 박모 씨(39)는 3개 카드사의 분실·위변조 탐지 시스템 개발프로젝트(FDS) 책임자로 일했다.

박 씨는 시스템을 구축한 뒤 이 시스템을 시범 가동하기 위해 해당 카드사로부터 고객정보 이용 권한을 받았다. 원래 이런 시범 가동 때는 암호가 걸린 가짜 데이터를 써야 하지만 박 씨는 암호가 없는 진짜 개인정보를 이용했다. 카드 3사가 외주 용역직원인 박 씨에게 정보에 접근할 권한을 준 것이다.

박 씨는 1억 건이 넘는 정보를 USB 한 개에 담아 빼냈다. 8GB USB 1개에는 20억 건 이상의 정보를 담는 게 가능하다. 보안을 중시하는 대부분의 회사는 업무용 컴퓨터에 일반 USB를 꽂아도 정보를 내려받을 수 없게 돼 있다. 고객정보 등 민감한 정보에 접근하면 즉시 사내 정보보호최고책임자(CISO)에게 통보되는 시스템도 카드 3사에는 없었다. 금융권의 한 관계자는 “업무 편의와 한정된 정보기술(IT) 관련 예산 등을 이유로 개인정보 보안을 어설프게 하다가 발생한 인재(人災)”라고 설명했다.

카드사들은 정보유출 사실을 확인하는 과정에서조차 허술함을 드러냈다. 국민카드는 18일 오전까지 고객 생년월일과 주민등록번호 끝 번호 한 개만 알면 어떤 정보가 유출됐는지 알 수 있도록 해 정치인 연예인 등 유명 인사들의 개인정보가 추가로 대거 유출됐다. 문제가 커지자 해당 카드사는 부랴부랴 공인인증서 등을 통해 확인할 수 있도록 절차를 강화했다.

○ 고객정보 공유, 유출 피해 키웠다

개인정보 보안이 이처럼 허술하게 이뤄지는데도 금융사들은 그동안 개인정보 수집에 열을 올렸다. 카드사들은 개인의 신용도 등을 고려하지 않은 ‘묻지 마 카드 발급’으로 2003년 신용카드 사태를 겪은 뒤 수익관리 및 건전성 강화를 위해 개인정보를 체계적으로 모으기 시작했다. 다방면의 개인정보를 활용해 이용·대출한도를 설정하기 위한 것이었다.

또 마케팅에 활용하기 위해 금융지주회사가 계열사 간 정보 공유를 강화하다가 피해를 키웠다는 지적도 나오고 있다.

국민카드에서 카드에 가입한 적이 없는 KB국민은행 고객 정보가 다량으로 유출된 것이 이런 이유에서다. 이 때문에 지주사 내 정보를 공유할 때에 고객의 확실한 동의를 받고 제한된 범위에서만 활용하도록 해야 한다는 지적이 나오고 있다. 한편 카드 3사는 20일 정보 유출 통보 현황과 고객 피해 최소화 방안 등을 발표할 예정이다.

이상훈 january@donga.com·신수정 기자