preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

[이슈추적] 카드사, 외주 직원에 보안해제권까지 줬다

3개 카드사의 고객정보 1억400만 건을 빼냈다 검찰에 구속 기소된 신용평가업체 KCB 직원 박모(39)씨가 해당 카드사의 보안프로그램을 해제하는 권한을 가지고 있었던 것으로 드러났다. 이번 고객정보 유출 수사에 정통한 한 관계자는 9일 “박씨가 KB국민카드·롯데카드·NH농협카드의 부정사용방지시스템(FDS) 프로젝트를 총괄관리하면서 보안프로그램 해제 권한을 부여받았다”고 밝혔다. 그는 “이런 특별 권한을 박씨가 갖고 있었기 때문에 큰 어려움 없이 내부 정보에 접근할 수 있었다”고 덧붙였다. 이와 관련 검찰 관계자는 "피의자가 고객정보를 빼낼 때 카드사의 보안프로그램은 해제된 상태였다"고 설명했다. 검찰에 따르면 이들 카드사는 평소 고객정보 유출을 막기 위해 정교한 보안프로그램을 가동하고 있었지만, 박씨 앞에선 무방비 상태나 다름없었다. 단 한 사람이 1억 건이 넘는 고객정보를 빼돌릴 수 있었던 이유다.



고객정보 1억 건 왜 뚫렸나 봤더니

 박씨는 FDS 프로그램 설계 전문가로 2012년 5월 KCB로 스카우트됐다. 이후 박씨는 NH농협카드, KB국민카드, 롯데카드 순으로 각 회사의 FDS의 프로젝트 총괄관리담당(프로젝트 매니저)을 맡았다. 고객들의 새로운 카드 사용패턴을 기존 FDS 체계에 적용하기 위한 프로그램을 설계하고 만드는 것을 지휘하는 역할이었다.





“어떤 정보 유출됐는지 몰라 답답”



▷여기를 누르시면 크게 보실 수 있습니다


 박씨의 권한이 워낙 크다 보니 카드사들은 박씨가 들고나간 정보가 무엇인지를 파악하지 못하고 있다. 익명을 원한 카드사 관계자는 “박씨의 업무 자체가 데이터 가공과 분석·암호화를 하는 것이어서 권한을 이용해 보안을 해제했을 수는 있지만 정확한 경위를 몰라 지켜보고 있다”며 “접근 가능했던 데이터들 중 어떤 정보가 얼마나 유출됐는지를 알지 못해 답답하다”고 털어놨다.



개인정보보호법에 따르면 보관하던 개인정보가 유출된 회사는 이 사실이 확인되는 즉시 고객들에게 유출된 개인정보의 항목, 시점과 경위, 피해를 최소화하기 위한 방법을 알려야 한다. 하지만 9일 현재 카드사들은 홈페이지에 사과문만 올렸을 뿐 고객들에게 구체적인 내용을 설명하지 못하고 있다. 정보보안 전문가인 문재웅 제이컴정보 대표는 “유출된 고객정보로 볼 때 이를 빼간 사람은 ‘원자료(raw data)’에 가깝게 접근한 것으로 보인다”며 “외주업체 직원이 이런 정보에 접근할 수 있었다는 것을 이해하기 어렵다”고 말했다.





금감원, 내주 정보보안 실태 검사



 금융감독원은 다음주 초부터 3개 카드사에 대한 현장검사를 실시해 고객정보가 유출된 정확한 경위를 파악하기로 했다. 금감원 류찬우 여신전문검사실장은 “사고 경위와 함께 카드사들이 개인정보보호법에 따른 정보보안 의무를 다했는지와 내부통제는 어떻게 했는지를 철저하게 조사할 것”이라고 말했다.



핵심은 카드사들이 안전성 확보 의무를 다하고 전산자료 보호대책을 제대로 시행했느냐 여부다. 금융위원회가 고시한 전자금융감독규정 제13조는 ‘금융회사는 전산자료의 유출을 방지하기 위해 보호대책을 수립해야 하며, 외부사용자에게 사용자 계정을 부여하는 경우 최소한의 작업 권한만 할당하고 적절한 통제장치를 갖춰야 한다’고 규정하고 있다. 외부사용자에는 박씨와 같은 용역회사 직원도 포함된다. 따라서 박씨가 보안을 해제하는 권한을 가졌다는 것은 13조의 규정이 제대로 지켜지지 않았다는 것으로 볼 수 있다.



 카드업계에선 3개 카드사와 경영진이 중징계를 피하지 못할 것으로 예상하고 있다. 고객정보 유출의 규모가 크고 일부 카드 사용정보까지 외부로 나갔기 때문이다.





3개사 영업정지 등 중징계 불가피



금융위원회와 금감원도 “금융회사의 관리·운용상 취약점이 드러날 경우 신용카드사는 영업정지, 임직원은 해임권고 같은 중징계를 할 수 있다. 최고관리자가 전산자료 보호를 비롯해 금융거래의 안전성 의무를 다했는지에 대해서도 철저히 따져 책임을 묻겠다”고 밝혔다.



 한편 박씨는 신한카드에서 4개월, 삼성카드에서도 7일 동안 근무했다. 그러나 근무기간이 상대적으로 짧았던 데다, 담당 업무도 유지·보수에 국한되다 보니 이들 카드사에서는 정보유출이 없었다. 신한카드 관계자는 “박씨가 FDS 관리 인력으로 근무한 적 있지만 내부정보 접근 권한은 철저하게 제한돼 있었다”고 전했다.



이지상 기자
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사