소중한 고객의 개인정보 어떻게 책임질 것인가

지난 1월 8일 신용평가업체 직원이 카드사 고객 정보를 대량 유출한 사실이 드러나면서 카드사의 보안 실태가 다시 도마 위에 올랐다. 창원지검에 의해 적발된 이번 사건은 KB국민카드 5천300만명, NH농협카드 2천500만명, 롯데카드 2천600만명 등 국내 금융기관 개인정보 유출 사고로는 사상 최대 규모다. 이에 KB국민카드, 롯데카드, NH농협카드 대표는 대국민 기자회견을 열어 사고에 대해 사과하고 나섰다. 그러나 대규모 고객 정보가 유출됐음에도 은행과 카드사들은 피해 고객을 파악조차 하지 못해 전화금융사기 등 2차 피해 우려도 커지고 있는 상황이다. 카드3사 고객 개인정보 유출, 어떻게 대처할 것인가에 귀추가 모인다.

쉽게 뚫리는 보안따윈…

2차 피해 가능성 커져
대규모 고객 정보가 유출됐음에도 은행과 카드사들이 피해 고객을 전혀 몰라 보이스피싱 등 2차 피해 가능성이 커졌다. 지난 1월 15일 금융권에 따르면 은행, 카드사, 저축은행, 캐피탈사에서 1억1천여만건의 고

유료 서비스도 서비스인가!
신한카드, 삼성카드, 우리카드가 유료 정보보호 영업을 슬그머니 재개해 대규모 정보 유출에도 돈벌이에만 급급하다는 논란이 다시 불거진 바 있다. 신용정보 보호서비스는 코리아크레딧뷰로(KCB)나 나이스신용평가 등 신용평가사가 고객에게 신용정보 변동 내용을 문자메시지나 이메일로 알려주고, 명의보호ㆍ금융사기 예방 등 고객 정보를 종합적으로 관리하는 유료 부가서비스다. 카드사들은 대부분 일정 기간 신용정보 보호서비스를 무료로 제공하고서 유료 결제로 자동 전환하는 마케팅을 하고 있다. 금융권에 따르면 논란 끝에 지난 1월 10일 이 서비스를 일시 중단한 신한ㆍ삼성ㆍ우리카드는 지난 1월 14일부터 이 서비스 판매를 재개한 것으로 15일 확인됐다. 앞서 금융권에 전방위로 정보 유출 파문이 일자 금융당국은 다른 카드사에도 이 서비스 판매 자제를 요청했다. 카드사의 대규모 정보 유출 사태로 무료로 피해 고객을 구제해도 모자랄 판에 유료 정보보호 서비스를 판촉하고 있다는 게 도의상 맞지 않다는 판단 때문이다. 이 상품을 처음에는 무료로 제공하다가 나중에 유료로 전환하는 등 편법 영업도 문제라는 지적이 나오기도 했다. 이에 현대카드를 제외한 모든 카드사가 이 상품의 신규 판매를 중단했다. 그러나 신한카드, 삼성카드, 우리카드가 부정적인 여론을 피해 서비스 판매 영업을 중단한 지 이틀 만에 재개한 것이다. 비씨카

내 소중한 정보가…
1월 18일 신용카드 업계에 따르면 KB국민카드, NH농협카드, 롯데카드 등 카드 3사는 고객 성명에 카드번호와 유효기간, 주민등록번호까지 카드 회원들의 주요 신상 정보 대부분을 도난당했다. 특히 이날 해당 카드사와 카드 회원 고객들에 따르면 유출 내용을 확인한 결과 성명과 이메일, 휴대전화번호 등에 이어 직장정보와 주거상황, 결제계좌까지 빠져나간 것으로 드러났다. 국민카드 회원 K씨의 경우 피해 여부를 조회해본 결과 성명, 이메일, 휴대전화, 직장전화, 자택전화, 주민등록번호, 직장주소, 자택주소, 직장정보, 주거상황, 결제일 등이 유출된 것으로 확인됐다. 이어 롯데카드 회원 N씨는 성명에 주민등록번호, 카드번호, 결제계좌 번호, 회사주소, 집주소, 회사전화, 집전화, 휴대전화번호가 유출된 것으로 파악됐다. 농협카드도 마찬가지였다. 이날 NH농협카드는 고객들에게 주민등록번호, 자택전화, 이메일, 자택주소, 직장정보, 카드번호, 유효기간, 카드정보, 경제정보, 신용한도, 연소득 등의 개인 회원 정보가 유출됐다는 내용을 공식화했다. 한편 KB국민카드, NH농협카드, 롯데카드 측은 고객 정보가 유출된 것에 대해 “사건을 수사한 창원지검이 불법 유출된 정보 원본 파일을 압수했다”며 “이 파일이 판매되거나 추가 유통되지는 않았다”고 발표하는 등 파문 확산을 차단하는 모습을 보였다. 그러나 정보가 유출된 것을 확인한 일부 해당 카드사 고객들은 당혹감을 감추지 못했다. 직장인 P씨는 “도난당한 개인정보가 어떻게 쓰일지를 생각하면 걱정이 많다”며 “해당 카드사는 모든 피해 사실을 정확히 알려 2차 사고를 대비하는 모습을 보여야 한다”고 말했다. 또 다른 직장인 M씨는 “실로 어처구니없는 일이 발생했다”며 “가장 보안이 엄중해야할 금융권 중, 그것도 신용카드사에서 개인정보의 대량 유출 사고라니 참으로 허술하기 짝이 없는 금융카드 시스템”이라고 비난했다.

해지 회원, 부지기수(不知其數)
지난 1월 23일 금융감독원에 따르면 이날 정오까지 카드 3사에 접수된 카드 해지(탈회 포함) 신청건수는 ▲ KB국민카드 65만9000건 ▲ NH농협카드 65만건 ▲ 롯데카드 21만5000건으로, 모두 합해 152만7000건에 달한다고 밝혔다. 카드 재발급 신청은 ▲ KB국민카드 51만건 ▲ NH농협카드 95만2000건 ▲ 롯데카드 44만2000건 등 도합 190만1000건으로 집계됐다. 이로써 이들 카드3사에 접수된 재발급ㆍ해지 신청은 총 342만8000건인 것으로 나타났다. 앞서 이들 카드 3사 재발급ㆍ해지건수는 정오 기준으로 지난 21일 115만 건, 22일 229만건을 기록했다. 이날 343만건을 기록하면서 이틀 연속 하루에 114만건씩 카드 재발급ㆍ해지 건수가 늘어난 것이다. 전날 정부가 금융사 고객정보유출재발방지 종합대책까지 내놓으며 사태 진화에 나섰지만 카드 재발급ㆍ해지 건수는 오히려 가파르게 증가했다. 특히 농협처럼 재발급 요청이 많은 금융사에서는 재발급에 최대 10일까지 걸릴 수 있다는 안내를 받은 고객들이 재발급 대신 해지로 돌아서는 양상도 보였다. 이들 카드사는 카드 제조사에 대량 주문을 넣고 카드 배송업체에도 협조를 요청했지만, 워낙 고객들의 재발급 요청이 많아 수요를 따라가지 못하는 상황일 수밖에 없었던 것이다. 카드사들이 거의 비슷한 제조사를 이용하고 있어 이번 사태가 다른 카드사들에까지 영향을 미치는 게 아닌지 카드업계 차원의 우려도 나왔다. 개인정보 유출 여부 조회는 ▲ KB국민카드 434만건 ▲ NH농협카드 319만건 ▲ 롯데카드 274만건 순으로 이날 1000만건을 돌파했다.

매뉴얼을 안 지킨 인재?
신제윤 금융위원장은 지난 23일 오후 국회 정무위원회 카드사 고객정보유출사고 관련 긴급 현안보고에 참석해 “지난 30여년간 공무원 생활을 충실히 해왔으며 현재는 사태 수습이 먼저”라고 말했다. 이들은 금융당국의 관리감독이 미흡했다는 지적에 대해 일부 시인하면서도 인재(人災)를 강조하며 금융당국 책임론을 애써 외면했다. 신 위원장은 “감독에 미비가 있었음을 인정한다”면서도 “이번 사건같은 경우는 한 사람의 실책”이라고 강조했다. 특히 “모든 기록을 조사한 결과 유출된 흔적은 없었다”며 “2차 피해는 없다”고 단언했다. 최수현 금융감독원장은 유일호 새누리당 의원이 “고객 정보유출을 금감원이 인지한 시점은 언제냐”고 묻자 “검찰에서 공식발표하기 이틀 전에 통보받았다. 솔직히 몰랐다”고 말했다. 이어 “현장점검에 다소 미숙한 점이 있었다”면서도 “시스템의 문제라기보다는 매뉴얼을 안 지킨 인재”라고 주장했다. 징벌적 손해배상제도와 집단소송제 도입에 대해서도 반대 입장을 분명히 했다. 신제윤 위원장은 “아직은 다른 법체계나 민사소송법에 비춰볼 때 연구해볼 부분이 있다”며 “징벌적 과징금이 굉장히 강한 것이다. 매출액의 1%라면 금융회사는 매출액이 워낙 커서 1000억원까지 갈 수 있는 사실상의 무제한의 과징금”이라고 말했다. 이어 “정보 유출만 해도 50억 원의 과징금이 부과된다. 앞으로 고객 정보 유출 회사는 문을 닫게 하고, 관련 사람은 영원히 발을 못 붙이게 하겠다”고 강조했다. 더불어 지난 22일 내놓은 고객정보보호 대책이 ‘빅데이터’활용과 상충된다는 지적에 대해서 신 위원장은 “빅데이터와 보안은 상충이 아니라 보완의 문제이고, 보안이 잘 될수록 빅데이터 활용은 더 좋아진다”고 말했다. 아울러 “개인정보 유출 사태의 재발을 막기 위해 최고정보보호책임자의 기능을 대폭 강화하는 방안을 추진하겠다”며 “IT 관련 사람들이 회사에서 긍지를 갖고 일할 수 있도록 힘쓰겠다”고 밝혔다

대책마련 시급!!!
지난 2011년 4월 현대캐피탈 정보유출, 농협전산망 마비 사건과 2013년 3월 20일 농협은행, 신한은행 등에 대한 사이버공격 등 대형 사건이 발생할 때마다 정부가 대책을 내놨다. 1억 건이 넘는 사상 초유의 대규모 정보유출 사건이 발생한 후 금융위원회, 금융감독원을 중심으로 정부는 긴급 대책을 발표했다. 또 세부적인 종합 대책을 2월에 공개할 예정이다. 매번 정부는 사고 재발을 막겠다고 했지만 보안 사고의 규모와 범위는 더 커지고 있다. 이번 사건을 계기로 대증요법식 대책이 아니라 정보활용과 보호에 대한 획기적인 인식 전환과 근본적인 대책마련이 필요하다는 지적이 나오고 있다. 지난 1월 8일 검찰이 카드사 정보유출 사건을 발표한 후 14일 만인 22일 정부는 긴급 대책을 발표했다. 최고경영자(CEO) 책임을 강화하고 정보유출 기업에 징벌적 과징금을 부과한다는 것이다. 또 금융회사의 정보공유 관리를 강화하고 내부 통제와 외주 인력에 대한 보안도 강화하기로 했다. 세부적인 대책은 금융위, 금감원 등이 구성한 태스크포스(TF)에서 마련해 다음달 중 발표할 예정이다. 그러나  지금까지 나온 내용이 과거 대책과 차별성이 부족하고 근본적 치유가 아닌 현상 치유에 집중하고 있다는 지적도 많다. 금융권 한 고위관계자는 “평소 모범생이 한번 문제를 일으키면 이해를 받을 수 있지만 계속 문제를 일으키다가 또 사고를 치면 이해 받을 수 없다”며 “국민들이 분노하는 것은 금융이 가장 중요한 신뢰를 잃었다는 뜻이다. 신뢰를 회복할 수 있는 반성과 대책이 필요하다”고 말했다. 전문가들은 금융권 전반의 인식을 바꿔야 한다고 지적하고 나섰다. 우선 금융사들이 고객정보를 마케팅, 영업 도구로 생각하는 인식의 변화가 필요하다는 지적이다. 김기준 의원(민주당)은 “금융회사들이 개인신용정보를 과도하게 수집하는 원인은 연계영업을 통해 마케팅 기회를 창출하려고 하기 때문”이라며 “금융회사의 이런 행태가 바뀌지 않는 한 과도한 신용정보수집