국민카드사와 농협카드, 롯데카드사의 개인정보 유출사고, 개인정보 유출확인 방법
KB국민은행 카드사와 NH농협카드, 롯데카드사에서 개인정보가 유출되는 사상최대의 사고가 발생했다.
국민카드, 농협카드, 롯데카드에서 유출된 개인정보 유출건수는 1,500만 명의 1억 건에 육박한다고 한다.
유출된 카드사의 고객정보가 개인의 신상정보 뿐만 아니라 개인의 금융정보까지 포함하고 있어서 충격을 주고 있다. 즉, 한 개인의 모든 정보가 다 털린 셈이다.
이렇게 유출된 개인정보는 악의적 사용자나 사기꾼들의 손에 들어가면 개인 신용카드 불법복제나 위조, 변조 등으로 인한 엄청난 재산적, 금융피해가 발생할 수 있으며 그 피해자는 최대한 1,500만 명까지 눈덩이처럼 불어날 수가 있어서 이번 유출사건의 심각성이 얼마나 큰 지 실감할 수가 있다.
이번에 개인정보가 유출된 국민은행의 국민카드사 홈페이지에 접속해서 유출확인을 해본 결과는 아래와 같은 결과가 나왔다.
고객님의 유출된 정보는 다음과 같습니다.
- 성명, 이메일, 휴대전화, 직장전화, 자택전화, 주민번호, 직장주소, 자택주소, 직장정보, 주거상황, 연소득, 카드이용실정금액, 카드결제계좌(금융은행 계좌정보), 카드결제일, 카드신용한도금액, 카드신용등급(타사포함)
당사 자체조사 결과 카드비밀번호, 카드번호 및 유효기간은 외부로 유출되지 않았으므로 카드 위조·변조 및 복제에 의한 부정사용 피해는 없는 것으로 확인되었으며 개인정보 유출시점인 작년 6월부터 지금까지 당사에 사고발생 접수는 없었습니다.
향후 유출정보로 인한 피해사실이 확인되면 절차에 따라서 피해보상 등 구제절차를 신속하게 진행하겠습니다.
이렇게 국민카드 홈페이지에서 개인정보 유출 확인 답변이 나왔다.
그런데 여기서 카드결제계좌인 거래하는 금융은행 계좌정보가 유출되었다는 것이 문제가 될 소지가 있다, 즉, 범죄에 이용될 소지가 있는 것이다.
타인의 계좌번호를 알게 되면 이번에 유출된 다른 정보 즉, 휴대폰번호나 집전화번호나 집주소 등으로부터 그 계좌의 비밀번호를 손쉽게 알아낼 수 있다는 점이다.
보통 많은 사람들이 자신의 비밀번호를 정할 때 자신의 휴대폰번호나 집전화 번호 등에서 따 온 숫자로 비밀번호를 만드는 경우가 많기 때문에 비밀번호를 쉽게 조합해낼 수 있다는 것이 큰 문제가 아닐 수 없다.
사기꾼들의 손에 들어가면 위와 같이 알고있는 계좌번호, 주민번호, 그리고 전화번호 등에서 조합해낸 비밀번호를 갖고 얼마든지 인터넷 등에서 쇼핑을 하거나 불법대출을 얼마든지 받아낼 수 있는 것이다.
그리고 인한 피해는 고스란히 불법 유출된 죄없는 1,500만명의 고객들에게 돌아간다는 점이다. 그야말로 금융범죄 대란이 초래될 수 있는 최악의 상황이 도래한 것이다.
고객신상정보 관리를 소홀히 한 KB국민카드, NH농협카드, 롯데카드는 1,500만 명의 국민들에게 씻을 수 없는 큰 피해를 입힌 것으며 반드시 법적인 책임을 져야할 것이다.
한편 KB국민카드, NH농협카드, 롯데카드 등 카드사들은 1월 17일부터 자사 홈페이지를 통해서 개인정보 유출 확인 서비스를 시작했다고 한다.
♣ 카드사 개인정보 유출여부 확인방법
고객이 자신의 개인정보 유출 여부를 확인 하려면 각 카드사 홈페이지의 조회서비스를 이용해서 아래와 같이 확인할 수 있다.
각 카드사 홈페이지 접속 - 고객정보 유출여부 확인 - 동의 절차 - 휴대폰 인증 또는 공인인증서 인증(로그인 절차)를 마치면 각 개인의 개인정보 유출 여부와 유출된 개인정보 항목이 표시된다.
개인정보 유출사고가 발생한 카드사 홈페이지에서 개인정보 유출 내역을 조회한 건수는 19일 12시 기준 KB국민카드 275만 건, 롯데카드 110만 건, NH농협카드 80만 건에 달할 정도로 관심이 뜨거운 상황이다.
KB국민카드, NH농협카드, 롯데카드사들은 카드 비밀번호, CVC 등 신용카드 결제에 필요한 핵심정보는 유출되지 않았기 때문에 카드 부정사용의 가능성은 없는 것으로 보고 있으며, 특히 고객정보가 유출이 시작된 지난 2012년 12월 이후부터 카드 부정사용 등의 사례가 특별히 증가하지는 않았다고 밝히고 있다.
♣ 카드사들의 고객정보 유출 피해 보상대책
또한 카드사들은 자체적으로 카드 부정사용 가능성을 점검하고, 사고가 발생하더라도 카드사가 전액 보상하겠다는 방안도 발표했다.
그러나 카드사들의 이 같은 발표에도 불구하고 정보유출을 확인한 고객들의 카드 재발급 또는 해지 요청이 쇄도하고 있다고 한다. 카드사별로 재발급을 요청한 건수는 KB국민카드가 1,195건, NH농협카드가 839건, 롯데카드가 3,013건에 달한다.
금융감독원에 따르면 이번에 유출된 개인정보 건수는 국민카드가 4320만건, 롯데카드 2689만건, 농협카드 2511만건으로 나타났다. 유출된 고객정보 항목은 3개 회사 모두 크게 다르지 않았고 성명과 이메일, 전화번호와 주소 등 12개 항목이 포함된 것으로 확인됐다.
고객 피해를 최소화하기 위한 대책으로 카드 3사들은 1차 정보 유출로 인한 카드 부정사용과 위조·변조 피해에 대해 보상하겠다고 밝혔다. 이와 함께 모든 회원을 대상으로 신용카드 사용내역 문자서비스를 일정기간 무료로 제공할 계획이다.
이번 카드사 개인정보 유출사건은 기존 해킹 사건과 달리 개인정보 관리를 맡은 외주 인력을 제대로 통제하지 못한 점에서 카드사들의 관리 소홀 책임이 큰 것을 드러났다. 하지만 카드사들은 이번에도 외주인력 관리 지침에 대해서는 별다른 대책을 발표하지 않고 있다.
NH농협카드의 경우 정보보호본부를 신설하고, 외부 기기를 반입하지 못하도록 하겠다는 지침을 밝혔다. 하지만 나머지 카드사들은 솔루션을 도입한다는 정도이지 추가 대책은 발표되지 않았다. 외주 인력을 포함한 내부자를 통한 대형 사고를 겪은 회사에서 발표한 대책 치고는 못미더운 실정이서 고객들은 카드사들에 대한 엄청난 불신감이 팽배해있는 상황이다.
♣ 카드사들의 개인정보 유출의 원인, 유출 경로, 방법
외주인력의 USB를 이용한 유출이 원인, 카드사들의 허술한 `관리감독`이 원인제공
사건은 외주 인력이 각 회사의 전산망에 접근해 USB 메모리에 고객 정보를 복사하면서 발생한 것으로 드러났다. 개인신용정보회사 코리아크레딧뷰로(KCB)의 A씨는 지난 2012년 5월부터 2013년 12월까지 NH카드·KB카드·롯데카드 회사에 파견돼 위조·변조 탐지 시스템 개발 프로젝트(FDS) 관련 용역을 수행해 왔는데 이 과정에서 각 회사 전산망에 접근해 USB에 고객정보를 복사해 몰래 가져갔다고 한다.
외주인력이 루트 권한을 갖고 있어 보안 기능을 잠시 중단시켰다는 것이다. 결국, 외부 인력 뿐만 아니라 내부 인력도 충분히 주요 정보를 빼내갈 수 있는 가능성은 충분하다는 의미가 된다.
업계의 한 관계자는 “업무 편의 때문에 외주 인력에게 지나치게 많은 권한을 주고 있는 것이 문제”라며 “지금과 같은 관리 체계에서는 마음만 먹으면 또 다른 고의적 정보 유출도 가능하며 이는 내부 인력도 동일하게 적용되는 문제”라고 문제점을 지적했다.
금융감독원은 이번 사고 후 전체 금융기관을 대상으로 직원 등 내부 이용자에 의한 정보유출사고 방지를 위한 내부통제절차를 강화하도록 했다. 대출모집인, 정보시스템 개발인력 등 외주 용역 직원에 대한 관리 수준도 높인다고 한다.
♣ 카드사들의 개인정보 유출 가능성의 문제점
계열사끼리 개인정보 마음대로 공유 - 금융지주회사법도 문제점
카드사들의 개인정보 유출의 또 다른 원인으로 금융지주회사법이 지적된다. 지난 2002년 만들어진 금융지주회사법 제48조의2에 따르면 금융그룹 내 계열사끼리는 영업을 목적으로 고객 정보를 제한없이 공유하고 이용할 수 있다. 계열사간 정보 공유로 시너지를 높인다는 목표다. 하지만 당초 취지와 달리 관련 규정은 개인정보 보호에 문제가 있어 끊임없이 지적을 받아왔다.
이 조항에 의해 제공되는 개인신용정보는 금융거래 내용, 이름, 주소, 주민등록번호, 성별, 국적, 증권 예탁금, 대출 보증, 담보제공, 당좌예금, 신용카드 할부금융, 개인 채무와 소득 총액, 납세실적 등이다.
금융위원회에 따르면 국내 12개 금융지주그룹은 지난 2011년부터 2012년까지 약 40억건의 고객 정보를 그룹 내 회사에 제공했다. 고객 정보 중 67%인 27억건은 위험관리, 고객분석, 영업점평가, 고객등급산정, 우수고객관리 등 그룹 내 경영관리 목적으로 사용됐다. 하지만 나머지인 33%(13억건)는 고객 본인이 직접 가입하지 않은 자회사나 손자회사가 보험텔레마케팅, 신용대출상품판매 등 영업을 목적으로 이용했다.
이렇듯 개인정보 및 금융정보가 또다시 유출될 수 있는 가능성은 얼마든지 열려있다.
국내의 많은 카드사 및 금융사들이 회사 정보시스템 개발이나 보수를 자체적으로 관리하지 않고 다른 외부업체에 위탁하여 관리하고 있어서 또다른 제2의, 제3의 개인정보 유출사고가 일어날 가능성은 무궁무진하게 열려있는 셈이다.
또한 같은 금융회사내의 계열사나 자사끼리 얼마든지 법적 규제를 받지않고 고객금융정보를 공유하고 주고받을 수가 있어서 개인정보 유출을 계속해서 일어나고 있는 셈이다.
그리고 금융위원회에서 발표한 사례에서 보듯이 개인정보 13억건이 고객자신이 가입하지 않은 보험텔레마케팅이나 신용대출상품판매업체에게 무제한적으로 제공되고 있어서 개인정보 유출로 인한 피해가 얼마든지 발생할 수 있는 상황에 놓여있다는 점이 정말 큰 문제가 아닐 수 없다.
대체 금융감독원은 여태까지 뭘 하고 있었던 것인가? 그들은 이러한 상황을 인지하고 있으면서 여태까지 그냥 방치하고 있었단 말인가?
너무 어이가 없는 상황이 아닐 수 없다. 이건 명백한 직무유기라고 할 수 있다.
이번에 개인정보 유출사고를 야기시킨 국민카드, 농협카드, 롯데카드는 정신 똑바로 차리고 다시는 이같은 유출사고가 발생하지 않도록 분명하고도 현실적인 유출방지 대책을 내놓아야 할 것이다.
그리고 이번 유출사고에 대해서도 법적인 책임을 분명히 져야할 것이다.
또한 관리감독권한이 있는 금융감독원도 관리감독을 더욱 철저히 해야하며 이번 유출사고를 야기한 카드 3사에 대해 법적인 책임을 반드시 물어야 한다.
아울러 금융계열사끼리 개인정보를 마음대로 주고받을 수 있게 한 금융지주회사법도 이번 기회에 반드시 개정해야 한다.
