카드업계 사상 최대 고객정보 불법 유출

KB국민카드, 롯데카드, NH농협카드 등 일부 주요 카드사의 고객 정보가 대거 유출되는 사고가 발생했다. 사상 최대의 고객정보 유출이 발생한 이번 사고는 개인 신용평가업체인 KCB 직원에 의한 인재(人災)지만, 카드사들의 허술한 보안정책도 빌미를 제공했다는 평가다.

이 같은 지적에 따라 KB국민카드와 NH카드, 롯데카드, 코리아크레딧뷰로(KCB) 최고경영자들은 대국민 공동사과문을 발표했다.

또한 금융당국은 이번 고객정보 유출과 관련해 해당 카드사에 대해 현장 검사를 착수하기로 했다. 만약 이번 현장검사 결과, 카드사의 관리·운용에 있어 문제가 드러날 경우 해당 카드사에 대한 영업정지와 임직원에 대한 해임권고 등을 포함해 엄중 제재한다는 방침이다.
◇ 카드사 고객 개인정보 1억건 이상 불법 유출

8일 금융권 및 금융감독당국에 따르면 창원지검 특수부는 신용정보회사 코리아크레딧뷰로(KCB) 직원 박씨를 3개 신용카드업자(KB카드, 롯데카드, NH카드)로부터 고객 정보를 대량으로 불법 수집·유포한 혐의로 기소했다.

이날 창원지검 특수부는 전산 프로그램 개발 용역 수행 과정에서 카드회사로부터 고객 인적사항정보 등을 불법 수집하고 그 중 일부를 유출한 외부 파견직원 박 모씨와 그로부터 정보를 구입한 대출광고업자 A씨를 구속 기소하고, A씨로부터 정보를 구입한 대출모집인 B씨를 불구속 기소했다고 밝혔다.

이들 일당이 유출한 고객 개인정보는 KB국민카드에서 5300만명, NH농협카드에서 2500만명, 롯데카드에서 2600만명으로 도합 1억 400만명에 이르는 대규모다. 구속된 박 씨는 개인신용평가 전문회사인 코리아크레딧뷰로(KCB)의 카드 도난 및 분실, 위·변조 탐지 시스템 개발 프로젝트(FDS)의 총괄관리 담당 직원으로, 지난 2012년 5월경부터 2013년 12월경까지 카드회사들에 파견되어 FDS 프로젝트 관련 프로그램 개발 용역 작업 수행을 위해 각 회사 전산망에 접근, USB에 고객 개인정보를 복사하여 몰래 가져갔던 것으로 밝혀졌다.

박 씨는 지난 2012년 10월부터 12월까지 NH농협카드에서도 이와 같은 방식으로 약 2500만명의 개인정보를 불법 수집했으며, 2013년 6월에는 KB국민카드에서, 2013년 12월에는 롯데카드에서 각각 불법 수집했던 것으로 드러났다.
박 씨는 이처럼 불법 수집한 카드사 고객들의 개인정보를 대출광고업자 A씨에게 제공했으며, A씨는 대출모집인 B씨에게 박 씨로부터 받은 고객 개인정보 중 100만 건을 제공했던 것으로 확인됐다.

이렇게 불법 수집되고 유통된 카드사 고객 개인정보에는 고객의 성명, 휴대전화번호, 직장명, 주소 등을 포함해 신용카드사용 등과 관련한 신용정보도 일부 들어있었던 것으로 검찰 조사 결과 드러났다. 창원지검은 개인정보 불법수집자인 박 씨와 최초 유통자인 A씨를 검거해 불법 수집된 원본 파일과 1차 복사 파일 등을 압수함으로써 외부 유출은 일단 차단된 것으로 보고 있다. 창원지검은 이 같은 조사 내용을 금융당국에 통보했으며, 공범 유무 및 추가 유출 여부에 대해 추가적으로 확인하고 있다고 덧붙였다.

◇ 카드사 부정사용방지시스템 부실관리 도마 위에

이번 사건에서 고객정보 유출 혐의를 받고 있는 KCB 직원 박모씨가 카드사의 부정사용방지시스템(FDS) 관리를 담당한 것으로 알려지면서 FDS에 대한 부실관리가 도마 위에 올랐다. FDS는 고객의 카드사용패턴을 파악해 의심거래 발생시 SMS나 전화로 고객에게 통지하는 서비스다.
예를 들어 국내 편의점에서 사용된 카드가 몇 분 후에 유럽에서 사용되는 등 카드 위변조 거래로 의심되는 경우 자동으로 승인거절 조치가 이뤄지고 고객에게 통지되는 것이다. 카드사들은 FDS 구축을 위해 KCB와 제휴를 맺고 있으며, 시스템 관리는 KCB 전담직원이 각 카드사에 상주하며 운영하고 있다. 현재 KCB와 FDS 컨설팅 제휴를 맺고 있는 카드사는 KB국민, 롯데, NH농협, 신한, 삼성카드 등으로 알려졌다. 문제는 똑같은 컨설팅을 받고 있는 5개 카드사 중 3개 카드사에서만 고객정보 유출 사건이 발생했다는 점이다. 때문에 이들 카드사의 정보관리가 소홀한 것이 아니냐는 지적이다.

실제 문제가 발생한 3개 카드사와 달리 신한과 삼성은 결제정보를 암호화하는 등 보다 강화된 정보관리시스템을 구축하고 있는 것으로 나타났다. 결국 정보관리와 내부통제를 통해 사전에 유출가능성을 차단한 것이다. 때문에 고객정보 유출 허점을 드러낸 카드사의 경우 정보관리 부분에서 책임을 면하기 어려울 것으로 보인다.

◇ 금융당국, 관리 부실이나 위법 확인시 임직원 해임 등 ‘일벌백계’

금융위원회와 금융감독원은 3개 카드사에 대해 개인정보 유출 경로 등이 파악되는 즉시 현장 검사를 실시, 정보가 유출될 때까지 금융회사의 정보보호, 내부통제 장치가 제대로 관리·운용되고 있는지를 집중 검사하기로 했다.

또 금감원 검사에서 드러나는 카드사의 위법 사항에 대해선 엄중 제재 할 방침이다. 권한 없는 자가 무단으로 정보를 유출하는 등 금융회사의 관리·운용상 문제점이 드러날 경우 전자금융거래법 위반으로 신용카드업자는 영업정지, 임·직원은 해임권고 등 중징계까지 가능하다. 금융당국 관계자는 “최고 관리자가 전산자료 보호 등 금융거래의 안전성 의무를 다했는지에 대해서도 철저히 따져 책임을 물을 계획”이라며 “위법사항에 대해선 일벌백계 차원에서 관련 법규에 따라 엄중히 제재할 것”이라고 밝혔다.

금융당국은 사고가 발생하지 않은 금융회사에 대해서도 고객 정보 유출 방지대책 및 고객정보 관리의 적정성 실태를 전면 점검한다는 방침이다. 이에 금감원은 1월 중 금융회사 자체 점검 체크리스트를 마련하고, 금융사별로 체크리스트를 기초로 1~2월 중 자체점검을 실시하도록 지도했다.

금융당국 관계자는 “사고가 발생한 신용카드업자는 회원에게 고객정보 유출 항목, 유출 시점과 경위 등을 서면이나 문자, 이메일 등으로 개별 고지하고 홈페이지 등에도 게재하도록 할 것”이라며 “금감원에 정보유출 감시센터를 설치·운영해 유출된 정보의 불법 유통 사례를 접수할 것”이라고 말했다.

아울러 금융당국은 정보보호 관련 기관과 협력해 ‘개인정보보호 강화 종합대책’을 마련할 계획이다. 개인정보 접근·취급과 관련한 내부통제시스템 및 보안대책 전반에 관한 제도개선 사항을 검토하고, 특히 정보기술 관련 ′업무처리 위탁′이 증가함에 따라 제기되는 관련 위험요소 및 대응방안을 집중적으로 들여다본다는 방침이다. 또한 개인정보 유출 관련해 신용정보회사처럼 정보처리 관련 업무를 주로 수탁 받아 처리하는 회사의 경우 관리책임 미비시 기관경고·영업정지 등 행정제재를 도입 검토키로 했다.

◇ 해당 카드사 CEO들, “무거운 책임감 느낀다” 대국민 사과

사상 최대의 고객정보 유출이 발생한 KB국민카드와 NH농협카드, 롯데카드, 코리아크레딧뷰로(KCB) 최고경영자들이 국민 앞에 머리를 숙였다. 먼저 김상득 KCB 사장은 직원의 카드사 정보유출에 대해 “직원에 의한 정보 유출에 참담함을 느낀다”면서 “피해 예방에 주력하고 발생 피해는 보상에 최선을 다할 것”이라고 밝혔다.

그는 이어 “컨설팅업무로 회사로 파견돼 근무하던 당사소속 직원이 업무 과정에서 취득한 고객정보를 불법적으로 외부인에게 유출했다”며 “회사를 책임지는 사람으로서 대단히 부끄럽고 죄송하다”고 말했다. 김 사장은 또 “특히 우리 회사를 믿고 일을 맡겨준 카드사의 명예를 실추시킨 점에 대해 매우 죄송하게 생각한다”며 “이번 유출사고로 인해 발생할 수 있는 피해를 예방하도록 노력하고, 발생한 피해에 대해서는 보상에 최선을 다할 것”이라고 언급했다.

심재오 KB국민카드 사장은 개인정보가 유출된 3사를 대표해 “검찰 수사와 카드사별 자체 조사 등을 통해 만에 하나라도 발생할지 모르는 고객의 피해가 없도록 최선을 다하겠다”며 “향후 유사한 사고가 발생하지 않도록 개인정보 보호에 더욱 만전을 기할 것”이라고 말했다.

그는 이어 “개발 업체와 개발을 진행하면서 문제가 있어 명확한 부분을 파악 중”이라며 “고객 정보 관리를 강화하고 좀 더 확인해보겠다”고 언급했다. 손경익 NH농협카드 분사장은 농협이 이번에도 전산관련 사고에 연루됐다는 지적에 대해 “NH농협은행의 이전 정보기술(IT) 사고와는 성격과 내용이 전혀 다르다”며 “앞으로 NH농협카드에서 이런 일이 절대로 일어나지 않도록 하겠다”고 말했다.

“피해방지 최선… 대책 마련”

고객 개인정보 1억건 유출 파문을 일으킨 신용평가회사 KCB(코리아크레딧뷰로)와 국민·농협·롯데 등 카드사 최고경영자(CEO)들이 8일 대국민 공동 사과문을 발표했다. 심재오 국민카드 사장, 박상훈 롯데카드 사장, 손병익 농협카드 분사장, 김상득 KCB사장은 이날 서울 중구 대한상공회의소 지하 2층 대회의실에서 기자회견을 갖고 최근 일어난 고객정보 유출과 관련해 “머리 숙여 사과드리며 보상과 후속조치에 최선을 다하겠다”고 밝혔다.

카드 3사를 대표해 공동사과문을 발표한 심재오 국민카드 사장은 “고객정보가 무단 유출 됐고 검찰 수사를 통해 이번 사건을 인지하게 됐다”며 “그간 고객정보 보안에 노력을 기울여 왔음에도 이번 사건이 일어난 데 대해 무거운 책임감을 느낀다”고 말했다.

정보를 빼돌린 해당 직원의 소속 업체 KCB의 김상득 사장도 “평소 철저한 보안을 회사의 방침으로 삼고 있는데 이번 유출 사건에 대해 참담한 심경을 금할 길이 없다”며 “피해를 예방하기 위해 주력, 보상을 위해서도 최선을 다하겠다”고 밝혔다.



김의석 기자 eskim@fntimes.com