창원지검은 8일 신용평가업체 코리아크레딧뷰로(KCB) 직원 박모(39) 차장을 구속했다. 박 차장은 KB국민, 롯데, NH카드의 보안 컨설팅을 맡으면서 1억 400만건의 개인정보를 유출해 브로커들에게 1650만원에 팔았다. 회사별로 KB국민카드 5300만건, 롯데카드 2600만건, NH농협카드 2500만건이다. 

사태가 사태인 만큼 박 차장이 다니던 신용평가 업체 외에도 카드사 임원들도 여론 진정시키기에 나섰다. 

김상득 KCB 대표이사와 심재오 KB국민카드 사장, 박상훈 롯데카드 사장, 손병익 농협카드 분사장 등은 이날 오후 4시께 서울 대한상공회의소에서 '개인정보유출 대국민 사과 기자회견'을 열고 사과문을 발표했다.

이날 “그동안 고객 정보 보호를 위해 수많은 노력을 기울여왔음에도 불구하고”라고 말문을 시작한 이들은 “진심으로 사과의 뜻을 밝힌다”, “피해보상을 위해 최선을 다하겠다”, “직원 보안윤리를 강화하겠다”, “고객 피해가 없도록 최선을 다하겠다”고 전했다.

하지만 이는 불난 여론에 기름만 끼얹은 격이 됐다.

대규모 개인정보 유출사건이 발생했을 때마다 기업들은 대표나 관련자들이 한 차례만 고개를 숙이고 사과문을 고객에게 발송해왔다. 

하지만 그 이상은 전혀 없었다. 단 한 번도 제대로 된 피해보상이 이뤄진 적은 없었고 고객들이 소송을 걸면 대형 로펌을 고용해 맞섰다. 심지어 보안사건 후에도 또 보안사건이 터진 경우도 있었다. 

카드사들은 보안사건이 발생했을 때마다 ‘외부’ 탓을 해왔다. 2010년 1월 신한, 현대, 삼성, 롯데카드에서 안심클릭 결제시스템이 해킹당했을 때 카드사들은 고객의 컴퓨터 보안상태에 책임을 돌렸다.

KB국민, BC카드에서 기존의 안심결제 시스템을 보완해 ISP방식 도입했지만, 2012년 12월 해킹사건이 발생하자 또 고객의 컴퓨터 보안 탓을 했다.

포스단말기 문제에선 아예 신용카드 가맹점 표준약관을 바꾸어 카드사를 피해자로 가맹점을 가해자로 구성해 가맹점에 부분적 혹은 전적으로 책임을 물릴 수 있는 조항을 만들었다. 

 

 

이번 사건에서 특히 주목해야 할 점은 보안사건이 ‘내부’에서 시작됐다는 점이다.

 

박 차장은 2012년 5월부터 지난해 12월까지 KB국민, 롯데, NH 등 카드사에서 위·변조 탐지 시스템(FDS) 개발에 참여했다. FDS는 불법복제카드가 사용됐을 경우 사용패턴을 파악해 결제를 막는 일종의 보안 시스템이다. 

 

박 차장이 정보를 빼돌린 수법은 황당할 정도로 초보적인 수법이었다. 보안프로그램 개발 및 구축을 위해선 불가피하게 회사 전산망에 접근해야 했는데, 박 차장은 이때 USB를 이용, 고객정보를 복사해간 것으로 알려졌다.

 

보안업계에선 USB를 통한 유출을 막는 방법이 개념상으론 어렵지 않다고 말한다. 외부 USB의 유입을 막고, 개인정보를 자동암호화하고 보안허가를 부여하며, 출력이나 저장을 원천봉쇄하는 것이다. 만일 작업에 USB가 필요하면 보안프로그램이 구축된 회사 USB를 사용하되 반드시 회수해 사용내역 등을 기록해두면 된다.

 

김승주 고려대 정보보호대학원은 “SC, 씨티 은행 고객정보유출도 USB나 종이문서 출력을 통한 수법으로 카드사 또한 물리적인 통제를 하지 못해 이뤄진 사건”이라고 전했다. 

 

현 단계에서 박 차장의 구체적인 범죄수법은 알려졌지만, 박 차장이 고도의 해킹툴을 이용, 보안을 뚫고 개인정보를 입수했을 가능성은 매우 희박하다. 

 

보안을 뚫었다면 흔적이 남았을 것이고, 거듭 범행을 반복할수록 발견될 가능성이 높아진다. 작은 범죄는 발생할 수 있어도 큰 범죄는 불가능하다. 뒤집어 설명하면 이들 카드사에선 보안허가 설정이라는 기본적인 조치조차 없었을 가능성이 높다.

 

실제로 신한, 삼성카드 역시 KCB에 FDS 구축업무를 맡겼지만, 고객정보를 암호화해둔 두 카드사에선 고객정보 유출사건이 발생하지 않았다. 

 

 

금융당국은 고객정보 유출사건이 발생했을 때마다 “사태를 명확히 파악하고 관련자들을 문책하여 내부 감독을 강화하겠다”라고 발표해왔지만, 단 한 번도 제대로 된 문책을 내린 적은 없었다.

 

과거 고객정보가 해킹으로 유출된 현대캐피탈의 정태영 사장은 '주의적 경고', 내부직원이 정보를 빼돌린 삼성카드의 최치훈 전 사장과 하나SK카드의 이강태 전 사장은 각각 '주의'와 '주의적 경고 상당'을 받았다. 

 

금융소비자연맹(금소연)은 당국이 사전, 사후예방 양면에서 허술함을 드러냈다며 질타했다. 법규가 미비해 금융사에게 책임을 물리지 못하고 당국도 솜방망이 처벌로 일관하면서 개인정보만 유출되는 악순환이 계속되고 있다는 것이다. 

 

금소연 측은 “금융사 고객정보 유출에는 이유 여하를 막론하고 형사처벌과 제재를 우선해야 할 필요가 있다”며 “처벌강화와 임직원의 의식제고 및 내부통제 시스템을 강화하고 소비자들에 피해가 발생할 경우 자발적인 보상을 실시해야 한다”고 강조했다.

 

금소연은 기업들이 개인정보 보안에 투자하지 않는 것도 문제라고 지적했다. 농협전산망 사태 때 농협 측은 원가절감을 위해 외부용역에 맡겼다가 손실을 냈다. 당시 보안업계는 적절한 투자만 이뤄졌어도 손실을 피할 수 있었다고 밝혔다. 개인정보 보안체제 구축을 의무화하는 법적, 제도적 장치가 없다면 어떠한사전 예방도 갖출 수 없다는 것이 금소연의 주장이다.

 

금소연은 “업계 표준보안지침 등을 마련해 보안지침 및 개인정보접근기록 저장, 개인정보 암호화, 접근허가설정을 의무화하고 이를 지키지 않는 기업에 대해 반드시 처벌해 기본 보안 체력을 다지게 하는 것이 중요하다”고 전했다.

 

방통위는 지난해 11월 개인정보보호법등을 개정해 보안대책을 갖추지 않다가 유출사건이 발생한 기업의 경우 종전 최대 1억원의 과징금을 관련 매출의 1%이하로 법규를 강화했다. 하지만 과징금 요율의 구체적 기준이 없어 솜방망이로 그칠 것이라는 우려도 제기되고 있다.