악용 소지 훨씬 커…”보안등급 공시제 도입해야”

KB국민·롯데·NH농협카드에서 유출된 1억400만여건의 고객 정보 가운데 절반 이상은 민감한 신용정보인 것으로 드러났다.

14일 검찰과 카드업계에 따르면 이번에 대량으로 유출된 정보 중에 성명, 휴대전화번호, 주소, 직장명 등의 개인정보 외에 주민등록번호, 대출거래내용, 신용카드 승인명세 등 민감한 ‘신용정보’는 총 5천391만건으로 전체의 절반 이상을 차지했다.

신용정보는 고객의 소비 패턴과 습성을 알 수 있는 정보로, 전화금융사기나 대출 강요 등에 악용될 소지가 훨씬 크다.

실제로 이런 우려는 점차 현실화하고 있다.

금융소비자연맹은 최근 개인정보가 유출된 카드사의 회원이 전화금융사기, 대출 강요 등의 문자메시지나 전화를 받는 피해 사례가 발생하고 있다고 전했다.

금소연 강형구 금융국장은 “피해자 1인당 금융사기 관련 문자나 전화가 매일 10건 이상씩 오고 있다”며 “피해자는 모두 이번에 대량으로 고객정보가 유출된 카드사 회원이며 물질적·정신적 피해는 작지 않은 상황이다”라고 밝혔다.

앞서 검찰은 피의자들로부터 불법 수집된 원본 파일과 1차 복사 파일을 압수해 외부 유출은 일단 차단된 것으로 추정한다고 발표한 바 있다.

그러나 정보 유출에 따른 2차 피해 가능성은 농후하다는 게 전문가들의 견해다.

임종인 고려대 정보보호대학원장은 “검찰의 발표 내용은 피의자들이 카드사 고객 정보를 USB에 담은 이후 자기 PC에서 보낸 정보유출 흔적이 없다는 것”이라면서 “PC방 등 다른 장소에서 정보를 유출했을 개연성은 얼마든지 있다”고 말했다.

검찰 조사결과 구속 기소된 신용평가업체 KCB 직원 박모(40)씨는 오랜 기간 IT업계에서 일한 경험과 인맥을 바탕으로 유례없는 사상 최대 규모의 고객정보 유출을 감행했다.

박씨는 부정사용방지시스템(FDS) 구축 결과를 시험한다는 이유로 각 카드사에 “전산작업의 편의상 필요하다”며 고객 정보가 담긴 파일에 대한 보안프로그램 해제를 요청했고, 최종 승인을 받은 틈을 타 USB에 고객 정보를 옮긴 것으로 확인됐다.

박씨는 카드사의 컴퓨터에 설치된 보안프로그램을 직접 삭제하고 고객 정보를 USB에 옮기는 대담성을 보이기도 했다.

카드사는 결국 박씨가 ‘업계에서 오래 일한 믿을 만한 인물’이라고 간주해 보안 관리에 허술했으며 외부 용역직원에 대한 내부 통제도 미흡했다는 비판을 면치 못하게 됐다.

한편, 은행·보험·카드·저축은행·캐피털 업계 등 전 금융권에 걸쳐 정보보안에 허점을 드러내자 금융사에 ‘보안등급 공시제’를 도입해야 한다는 목소리가 커지고 있다.

금융사별 보안 수준을 신용등급처럼 매기고 이를 공시해 금융소비자가 금융사를 선택할 수 있는 기준을 제시하자는 취지다.

임종인 원장은 “금융당국은 공시제 도입으로 보안등급에 대한 금융사 간 선의의 경쟁을 촉진하고, 정보보안이 곧 생명이라는 패러다임을 구축해야 한다”고 강조했다.

연합뉴스