카드사 개인정보 유출로 인한 2차 피해 우려가 확산되고 있는 가운데, 한국전력공사(아래 한전)가 카드 재발급에 따른 자동납부 변경 안내 이메일에서 고객들의 새 카드번호를 가리지 않은 채 그대로 노출한 것으로 확인됐다. 이번에 카드사에서 유출된 개인정보에는 사용자 이메일도 포함돼 있어 해킹의 위험성을 무시할 수 없는 상황이다. 문제가 제기되자 한전은 잘못을 인정하며 뒤늦게 새 카드번호를 가리는 등 수습에 나섰다.
나도 모르는 새 카드번호를 한전은 알고 있다?"최OO 고객님의 유출 정보는 다음과 같습니다. 성명, 이메일, 휴대전화, 직장전화, 자택주소…. 고객님께 머리 숙여 사과드립니다." 제주시에 사는 50대 최아무개씨는 최근 일어난 개인정보 유출사태 피해자다. KB국민카드를 사용하는 최씨는 본인의 카드정보 유출을 확인한 지난 20일 오후, 카드 재발급을 신청했다. 이후 일어날 수 있는 2차 피해라도 막아보자는 생각에서였다.
문제는 그다음에 일어났다. 최씨는 21일 오전 6시 한전으로부터 '자동납부 변경 안내서' 이메일을 받고 깜짝 놀랐다. 안내서 하단에 있는 '신계좌(고객번호)'라는 항목에 처음 보는 16개의 숫자가 찍혀있었기 때문이다. 순간 최씨는 '신계좌' 번호가 새로 발급될 카드번호가 아닌지 의심스러웠다. 실제 '신계좌' 번호는 최씨가 며칠 뒤 새로 발급받은 KB국민카드의 카드번호와 일치했다. 최씨가 미처 알지도 못한 새 카드번호를 한전은 이미 알고 있었던 것이다. 더 큰 문제는 새 카드번호 16자리가 그대로 노출돼 있었다는 점이다. 반면 기존 카드번호는 앞자리 두 개만 공개된 채 나머지는 별표로 가려져 있었다.
큰사진보기
|
| ▲ 나도 모르는 번호를... 한전이 어떻게? 최아무개씨가 한전으로부터 받은 이메일에는 아직 발급되지도 않은 카드 번호가 그대로 기재돼 있었다. |
| ⓒ 최아무개씨 제공 |
관련사진보기 |
신청한 지 몇 시간이나 됐다고... "재발급받은 카드번호 그대로 노출"'정보 유출 대란'으로 가뜩이나 민감한 차에 카드번호가 이메일에 그대로 노출된 것에 화가 난 최씨는 한전에 전화로 따져 물었다. 처음엔 "잘 모르겠다"며 대답을 피하던 한전 관계자는 최씨의 계속되는 추궁에 "새로 발급된 카드번호가 맞다"며 "KB국민카드를 재발급하면서 (정보가) 넘어온 것 같다, 연체를 막기 위해서 먼저 보낸 것 같다"고 답했다고 한다.
"제가 카드 신청을 한 게 딱 하루 전입니다. 어떻게 제가 아직 받지도 못하고 알지도 못하는 카드번호를 이메일로 다 고스란히 노출합니까? 사실 이메일 해킹은 마음만 먹으면 누구든 가능한 건데…. 메일이 해킹됐으면 새 카드번호도 그대로 노출되는 것 아닙니까?" 최씨는 "이름과 메일 등이 다 유출된 상황에서 2차 피해를 막겠다고 카드를 바꾼 건데, 이렇게 번호를 그대로 노출시키면 재발급받은 게 무슨 의미냐"며 "재발급받은 카드가 안전한지도 믿을 수 없게 됐다"고 토로했다.
그는 이어 "이번 사고로 카드를 재발급한 사람들이 나 말고도 수만 명일 텐데 다른 사람들도 이랬을 것 아니냐"면서 "경제생활에서 신용정보가 얼마나 중요한 건데 후진국도 이런 후진국이 없다, 피해가 생겼다고 국가가 책임져줄 것도 아니면서 이런 식으로 놔두는 건 범죄나 마찬가지"라고 분개했다.
실제 금융감독원이 29일 밝힌 KB국민카드·롯데카드·NH농협카드 등 카드 3사에 접수된 재발급 신청 건수는 359만 건, 해지신청 건수는 210만 건에 달한다. 유출된 개인정보에는 주민등록번호는 물론 이메일 주소도 포함돼 있다. 미래창조과학부는 지난 8일 "네이버·다음 등 포털사는 방대한 누리집 규모에 비해 보안 인력이 상대적으로 부족해 일부 웹 취약점이 방치되고 있다"며 포털사의 이메일 해킹 가능성에 대한 우려를 표명했다.
한전 "처음엔 안전하다고 봐서... 나중에 해킹 위험성 파악 후 바로 바꿨다"
KB국민카드 측은 "한전에서 왜 고객의 새 카드번호를 (이메일에) 노출했는지는 잘 모르겠다"면서 "우리와 상관없는 일이니, 한전에 문의하라"고 말했다.
한전은 큰 문제가 아니라는 태도를 취했다. 장진원 한국전력 언론홍보팀 차장은 "카드사에서 연계돼 처리됐기 때문에 고객의 신규 카드번호가 자동 기재된 것"이라면서 "(카드번호가 가려지지 않은 것은) 본인에게 새로운 카드번호로 변경된다고 안내하는 차원이었다"고 설명했다. 그러나 그는 "처음에는 개인 메일로 전송되기 때문에 안전하다고 생각했지만, 이후 이메일도 해킹될 수 있다고 봐서 22일부터는 카드번호를 가려서 보냈다"고 말했다. 한전 스스로 문제가 있었다는 점을 인정한 셈이다.
최씨는 "개인정보 유출과 관련한 처벌이 너무 약하다"며 "관련 법조항을 더 엄격하게 개정해 적용할 필요가 있다"고 강조했다.