자녀 생일-출입국 기록… 카드사에 넘어가는 정보 94개

[대한민국 온갖 정보 다 샌다]
[덫에 걸린 신용사회]<2>금융사의 정보 중독

크게보기

금융권에서 ‘개인정보 유출’ 사고가 반복적으로 터지는 가장 큰 이유는 금융회사들이 너무 많은 개인정보를 수집하고 있기 때문이다. 정보가 집적되다 보니 사고가 나면 대규모 정보 유출로 이어질 가능성이 크다.

금융당국은 지난달 22일 ‘개인정보 유출 방지 대책’을 내놓으면서 금융사들이 20∼50개 항목의 개인정보를 수집한다고 발표했다. 하지만 이번에 사고가 터진 롯데카드만 해도 필요에 따라 100개에 가까운 항목의 개인정보를 수집하고 이용하는 것으로 드러났다.

○ 금융사는 당신의 모든 정보를 알고 있다

카드사는 한 사람의 일생을 관통하는 모든 개인정보와 신용정보는 물론이고 지금 어디서 무엇을 하는지도 알 수 있다. 롯데카드가 자사 홈페이지를 통해 수집 가능하다고 밝힌 개인정보 항목은 94개다. 필요에 따라 이름, 주민등록번호, 주소 등 개인 식별 정보와 재산, 납세 실적, 국민건강보험 납부 실적 등을 모은다. 가족카드를 만들 때는 가족의 개인정보와 자녀생일, 결혼기념일까지 요구한다. 스마트폰 애플리케이션 이용 고객에게는 접속 일시와 단말기 모델명, 위치기반서비스 사용시간·장소까지 수집한다. KB국민카드와 NH농협카드 등 이번에 정보유출 사고가 일어난 다른 카드사도 개인정보를 대량 수집하는 상황은 큰 차이가 없다.

금융사가 개인정보를 수집하는 수준은 중독에 가깝다. 금융회사가 수집한 정보는 ‘관리→공유→삭제’ 단계를 거치면서 보안 취약점이 커지며 개인정보 유통과정 전체를 왜곡시키는 ‘채찍효과(Bullwhip effect)’로 이어진다.

○ 꼭 필요한 정보만 수집하는 ‘정보 다이어트’ 필요

문제는 과도하게 수집한 민감한 개인정보들을 금융사들이 제대로 관리하지 않고 외부 업체들과 함부로 공유한다는 점이다. 이번 신용카드 정보 유출 사태의 가장 큰 특징은 이름, 주소 등 일반 정보와 주민등록번호, 카드번호 등 민감한 정보가 한꺼번에 유출됐다는 점이다. 금융권에서 일반 정보와 민감 정보를 별도로 분리해 관리하는 것은 기본 원칙이지만 이 카드사들은 이를 지키지 않고 서버 한 곳에서 통합적으로 정보를 다루다가 사고가 났다.

카드사들은 개인정보를 △상품·서비스 안내 및 권유 △사은·판촉행사 등에 쓸 수 있다고 명시한 약관을 근거로 많게는 500여 개 제휴업체와 고객정보를 공유한다. 금융사가 아무리 보안을 강화해도 제휴업체로 넘어간 정보까지 통제하는 것은 불가능하다.

전문가들은 금융회사들이 꼭 필요한 개인정보만 선별해서 모으는 ‘정보 다이어트’에 나서야 한다고 지적한다. 소비자들이 개인정보를 제공받는 ‘제3자’를 직접 선택할 수 있어야 하고, 제3자에 넘기는 본인의 정보도 선택할 수 있어야 한다는 것이다. 김승주 고려대 정보보호대학원 교수는 “현행법에서도 포괄적 동의 대신 구체적으로 물어야 한다는 내용이 있지만 이를 지키지 못했다”며 “제도를 만드는 것보다 과도하게 개인정보를 수집하지 못하게 하는 제도의 실효성을 확보하는 게 가장 중요하다”고 강조했다.

이상훈 january@donga.com·정임수 기자