| 카드사 정보 유출 이후 1년이 흘렀습니다. 당시 1억 건이 넘는 고객 정보가 유출되면서 전 국민의 개인 정보가 새어나갔다고 해도 과언이 아니었습니다. 과연 지금은 어떨까요. 수많은 금융사에 저장된 우리 정보들은 안전한 걸까요. <오마이뉴스>는 카드사 정보 유출 사태 1년을 앞두고 개인 정보 유통 실태와 정보 유출 피해자들의 반란을 취재합니다. 1편에서는 기자가 직접 브로커들을 통해 개인정보 구매를 시도해 봤습니다. [편집자말] |
올해 금융권 최대 이슈는 단연 '카드사 정보 유출 사태'였다. 지난 18일 한국금융연구원은 이를 '2014년 금융권 10대 뉴스' 중 1위로 선정하기도 했다.
지난 1월 KB국민, 롯데, 농협 등 3개 신용카드사에서 무려 1억 여건의 개인정보가 유출되고 일부는 유통까지 된 것으로 알려졌다. 이에 고객들이 카드를 대량으로 해지하는 '카드런 사태'로 번졌다. 이 후 해당 카드사와 금융당국은 재발방지대책을 내놓으며 다양한 노력을 해왔다. 그렇다면 우리 개인 정보는 이제 안전 지대에 있는 것일까.
기자가 직접 해보니... '포털 검색' 하면 카드사·완콜 DB 구매 가능
기자가 직접 개인 정보 구매를 시도해 봤다. 네이버, 다음, 구글 등 포털 사이트에 '개인 정보', '카드 정보'라고 검색했을 땐 판매 정보가 나오지 않았다. 유출사건 이후 검색 차단이 된 것으로 보였다.
그러나 'DB(개인 정보 데이터베이스) 판매'를 검색하니 개인 정보를 판매한다는 광고 글이 쏟아졌다. 광고 글은 대부분 중국 조선족 커뮤니티에 올라와 있었다. 이들은 "각종 디비, 타켓·(홍보)영업 디비 판매, 학원·교육·증권·선물·성인·보험·중고차 등등 디비 구매하실 분 연락주세요"라고 문구를 써놓았다. 메신저 아이디도 남겨두고 '상담 가능'이라고 써놓는 친절함도 보였다. 기자가 접근한 개인 정보 판매 브로커 3명은 모두 중국에 거주하고 있다고 밝혔다.
중국 메신저 QQ에서 '187***'이라는 아이디를 쓰는 브로커와 대화를 시도하니 '완콜'(전화를 걸어 대출 희망 금액 등을 확인한 개인 정보)이나 '카드사 DB'를 판매한다고 유혹했다.
큰사진보기
|
| ▲ 완콜DB를 보면 직장, 대출 희망 금액, 통신사, 신용정보등급, 2자리를 제외한 카드번호와 비밀번호까지 포함 되어 있다. |
| ⓒ 김지혜 |
관련사진보기 |
큰사진보기
|
| ▲ 완콜 DB는 대출희망 액수나 사용 처 등이 적힌 자료로, 개인정보판매 브로커들이 습득한 1차 정보에 본인들이 전화나 문자를 통해 얻은 정보를 입혀 재가공해 판매한다. |
| ⓒ 김지혜 |
관련사진보기 |
그는 "카드사 연체 자금 관리하는 직원을 통해 정보를 뽑아내고 있다"며 "1주일 전의 신상 정보"라고 주장했다. 그가 샘플로 보내온 완콜 DB를 보면 직장, 대출 희망 금액, 통신사, 신용정보등급, 2자리를 제외한 카드 번호와 비밀 번호까지 포함되어 있었다. 카드사 DB도 마찬가지로 이름, 주민번호, 주소, 2자리를 제외한 카드 번호와 비밀번호 등이 명시되어 있었다.
이들이 판매하는 정보는 이미 유출된 개인 정보일 가능성이 크다. 특히 대출 희망 액수나 사용처 등이 적힌 자료의 경우 재가공이 이뤄진 것으로 보인다. 습득한 1차 정보에 본인들이 전화나 문자를 통해 얻은 정보를 입혀 판매하는 것이다.
큰사진보기
|
| ▲ 중국 개인정보 판매 브로커를 통해 받은 카드사 DB 샘플. 이름, 주민번호, 주소, 2자리를 제외한 카드번호와 비밀번호 등이 명시되었다. |
| ⓒ 김지혜 |
관련사진보기 |
아이디 '254**'를 쓰는 브로커는 "사이트를 해킹해서 정보를 얻는 게 요즘 더 선호하는 방식"이라며 "원하는 사이트만 말하면 무조건 빼낼 수 있다, 1000개 정도 통으로 판매하고 개당 1500원"이라고 홍보했다. 그는 최근 정보 유출 사건이 발생한 여행·호텔 예약 사이트인 '에바종'도 이런 방식일 것이라고 귀띔했다.
지난 9일 '에바종'의 고객 정보가 해킹으로 이름, 이메일, 전화번호 등이 유출됐으며, 해커는 12일 일부 고객에게 정보를 중국과 베트남에 팔아넘기겠다는 협박 문자 메시지까지 보낸 것으로 알려졌다.
국책은행도 정보보호 허술..."핀테크-간편 결제로 유출 범위 넓어져" 개인정보 유출 사고를 겪은 카드 3사의 재발 방지 노력에도 출처 불명의 개인 정보가 공공연하게 돌아다니고 있었고, 구입도 어렵지 않았다. 유출 사고를 겪은 한 카드사 사장은 "또 다시 터지면 사실상 우린 끝이다, (고객 정보 유출이 일어나면) 문 닫는다는 각오로 정보보호에 힘쓰고 있다"고 털어놨다. 그러나 이제 정보 유출은 일부 카드사만의 문제가 아니다. 전방위적으로 정보가 유출되고 가공되고 무한 유통되고 있는 것이다.
실제로 지난 6월 신한, 삼성카드 등 6개 카드사에서 모바일용 '앱 카드' 명의 도용 사고가 또 터지는 등 진화된 수법을 이용한 정보 유출 사고가 끊이지 않고 있다. 이 때문에 제 2의 카드사 정보 유출 사태가 발생하지 않으려면 전 금융사들의 개인 정보 단속이 필요하다는 전문가들 지적이 나오고 있다.
그러나 금융사에는 여전히 '우리만 아니면 돼'라는 생각이 팽배하다. 유출 사고를 겪지 않았던 금융사들이 특히 그렇다.
최근 KB금융지주를 비롯해 국책 은행인 KDB 산업은행, 한국수출입은행, 그리고 지역 은행들까지 고객 정보 관리 소홀을 이유로 금융당국으로부터 무더기 제재를 받았다.
금융감독원 검사 결과 제재 공시에 따르면 지난 16일 KB금융지주는 기관 제재인 '경영 개선'을 받았다. 신용정보관리 보호인 의무 지정 및 수행 업무 등에 대한 규정이 없고 고객정보 오·남용에 대한 제재 기준이 모호하게 규정돼 있었기 때문이었다
산업은행은 거래종료 이후 파기 또는 별도 저장해야 할 고객 정보(개인 27만4771명, 법인 8794곳)를 조회가 가능하도록 방치한 것으로 나타났다. 위탁업체에 대한 교육 및 처리 현황 점검도 소홀했다. 1개월마다 위탁업체의 개인정보 파기 여부를 서면으로 보고받도록 규정해 놓고도 이를 어겼다. 이로 인해 '경영 유의' 1건, '경영 개선' 1건의 기관 제재를 받았다. 수출입은행도 고객정보 관리 소홀로 지난 10일 5건의 경영 개선 요구를 받았다.
지난 10월 개인 정보 유출로 중징계를 받은 스탠다드차다드(SC)은행은 또 한 번 제재(경영개선 2건, 조치의뢰 2건)를 받는 불명예를 얻었다. SC은행은 자동화기기 관리서버에 접속할 수 있는 인터넷 및 그룹웨어 접속을 차단하지 않았고 외부메일 송수신 기능을 차단하지 않은 채 외부 용역 직원에게 고객 정보가 담긴 단말기를 내줬던 것으로 나타났다.
염흥열 순천향대 정보보호학과 교수는 "모든 금융기관이 정보보호관리체계(ISMS)를 인증 받아 스스로 보안 위험들을 인식하고 부지런히 개선하는 체계가 되어야 한다"며 "그러나 의무가 아니라는 이유로 개인 정보를 많이 보유하고 있는 일부 증권사, 보험사, 카드사 등 금융사들이 이러한 인증을 받지 않고 있다"고 지적했다.
정보보호관리체계(Information Security Management System) 인증은 한국인터넷진흥원(KISA)이 각 기업의 정보보호 관리 수준을 평가·인증하는 제도다. 한국인터넷진흥원은 기업의 자체 보안정책 등 총 104개 평가 기준을 통과한 기업에게 인증서를 발급하고 있다. 정작 대부분 금융회사들은 이런 인증 제도조차 외면한 채 '핀테크(금융과 정보기술의 융합)', 간편결제 등 새로운 서비스 도입에만 열을 올리고 있다.
염 교수는 "최근 핀테크 열풍, 간편 결제 등 편리성이 강조되면서 개인정보를 다루는 처리자가 많아졌고 이는 정보가 유출 될 수 있는 면적이 넓어진다는 걸 의미한다"면서 "유출을 노리는 공격자 입장에서는 카드사 정보 유출 사태보다 공격할 방법이 더 많아져 앞으로 더 큰 유출 사태가 일어날 수도 있다"고 경고했다.