preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

카드 고객정보 1억 건 유출, 또 '안도둑'에게 당했다

카드사 대표들과 신용정보회사 코리아크레딧뷰로(KCB) 사장이 8일 오후 대한상공회의소에서 기자회견을 하고 고객 정보 유출을 사과했다. 왼쪽부터 손경익 농협은행 카드담당 부행장, 심재오 KB국민카드 사장, 박상훈 롯데카드 사장, 김상득 KCB 사장. [김형수 기자], [뉴스1]

‘열 포졸이 도둑 하나 못 잡는다’는 속담이 있다. 도둑이 안에 있는 사람이면 더 그렇다. 최근 일어난 금융회사의 고객정보 유출 사건을 보면 외부에서의 해킹보다 내부 사정을 잘 아는 직원이나 용역 직원이 가담한 경우가 많았다. 고양이에게 생선을 맡긴 꼴이다.

 창원지검 특수부는 KB카드와 롯데카드, NH카드(농협은행)의 고객 정보를 유출한 혐의로 8일 신용정보회사 KCB(코리아크레딧뷰로) 직원 박모(39)씨를 구속 기소했다. 검찰에 따르면 박씨는 2012년 5월부터 지난해 12월까지 3개 카드사의 부정사용방지시스템(FDS·Fraud Detection System) 개발 책임자로 일하면서 고객 정보를 빼냈다. 박씨가 이동식저장장치(USB)에 담아 빼돌린 고객 정보는 KB카드 5300만 건, 롯데카드 2600만 건, NH카드 2500만 건이다. 모두 합해 1억 건이 넘어 지금까지 있었던 금융회사 고객정보 유출 사건 중 가장 규모가 크다. 박씨는 1650만원을 받고 자신이 빼낸 고객정보 가운데 7800만 건을 대출광고업자 조모(36·구속 기소)씨에게 팔아 넘겼다. 유출된 정보는 이름과 휴대전화번호, 직장명, 주소와 일부 카드 사용내역까지 포함됐다. 다만 박씨에게서 고객정보를 처음 넘겨 받은 조씨가 검거돼 더 이상의 유출은 없었다고 검찰은 밝혔다. 카드사 측은 전화번호와 주민번호 같은 항목을 따로 계산해 유출 건수가 많아진 것이라고 해명했다. 그러나 카드사들은 정보가 유출된 고객 수를 정확하게 확인하지 못하고 있다. 검찰 수사 결과 박씨는 신한카드와 삼성카드에서도 유사한 전산 작업을 했지만 빼돌린 고객정보는 없는 것으로 나타났다.

▷여기를 누르시면 크게 보실 수 있습니다

 이번 사건은 카드 위·변조나 부정 사용을 막기 위해 고용한 협력회사 직원이 의도적으로 자료를 빼낸 경우다. 부정사용방지시스템은 고객의 평소 카드 사용행태를 분석해 이상한 거래가 나타나면 카드 승인을 하지 않는 것이다. 예컨대 국내에서 소액을 쓰던 사람이 몇 시간 뒤 해외에서 거액을 결제했다면 카드 정보가 유출된 것으로 의심해 고객에게 알리거나 결제를 중단하는 것이다. 이런 시스템을 만들기 위해서는 고객 자료를 활용해야 하기 때문에 박씨가 이런 정보를 손쉽게 빼낼 수 있었다는 것이 카드업계 관계자들의 얘기다. 지난해 12월 창원지검의 수사로 드러난 한국스탠다드차타드은행의 고객정보 유출 사건도 내부 전산시스템을 잘 아는 IT용역업체 직원의 소행이었다. 최근 5년간 문제가 된 금융권의 고객정보 유출 사건 중 외부 해커가 침입한 것은 2011년 현대캐피탈 사고 정도다. 나머지는 대부분 내부 직원이나 용역업체 직원들이 저질렀다.

 왜 이런 일이 반복되는 것일까. 금융회사들이 외부에서 전산망에 침입하는 해킹을 막는 데 신경 쓰느라 정작 내부 직원이나 용역 직원 통제엔 미흡했다는 지적이 나온다. 한양대 에리카캠퍼스 김인성(컴퓨터공학) 교수는 “이번 경우는 보안을 관리해야 할 사람이 보안을 파기한 것”이라며 “사실 보안 관리자가 마음먹고 정보를 유출하겠다고 하면 쉽게 막을 수 없다”고 말했다. 대책으로는 USB를 꽂을 때마다 삽입기록이 저장되도록 하고, 고객정보에 접근할 수 있는 사람에 대한 내부 통제를 강화하는 것밖에 없다는 게 김 교수의 설명이다.

 금융회사들이 비용절감 차원에서 전산 부분에 계약직 직원을 쓰거나 외부 업체에 관리를 맡기는 것도 문제로 지적됐다. 고려대 정보보호대학원 김승주 교수는 “전산을 담당하는 계약직 직원이나 용역업체 직원은 처우가 열악하다”며 “돈이 필요하거나 신분이 불안하다고 느낄 때 외부에서 금전적인 유혹을 하면 쉽게 거절하지 못한다”고 말했다.

 고객정보 유출 사고가 검찰 수사로 드러나자 감독당국도 바빠졌다. 금융위원회와 금융감독원은 이날 ‘고객정보 유출에 대한 대응방안’을 내놓고 카드사들의 고객정보 관리에 문제가 드러나면 일벌백계 차원에서 영업정지 등 엄중 제재를 하겠다고 밝혔다. 금감원은 3개 카드사에 대한 현장 검사에 나서기로 했다.

 하지만 감독당국이 금융회사의 고객정보 유출 사고에 소극적으로 대처했다는 비판도 나온다. 고객정보 유출이 일어났을 때 해당 금융회사는 대부분 ‘기관주의’와 과태료 600만원 정도의 징계를 받았다. 금융소비자단체인 금융소비자원의 조남희 대표는 “금융회사들이 보안에 대한 투자를 늘리도록 하고, 이를 제대로 하지 않으면 강력한 제재를 해야 한다”고 말했다.

 한편 KB국민카드 심재오 사장, 롯데카드 박상훈 사장, 농협은행 손경익 부행장(카드 담당), KCB 김상득 사장은 이날 오후 합동 기자회견을 하고 “소중한 정보가 유출된 데 사과를 드리고 고객의 피해가 없도록 하겠다”고 밝혔다. 김원배·이지상 기자

창원=황선윤 기자
사진=김형수 기자
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life