1억4천만 명에 달하는 개인정보 유출 사태로 카드사들의 안전 불감증이 도마 위에 오른 가운데 같은 시기 용역을 의뢰했지만 화를 면한 신한카드와 삼성카드의 보안 정책에 대해서도 관심이 쏠리고 있다.
10일 검찰과 금융권에 따르면 신용평가업체인 코리아크레딧뷰로(KCB)는 2012년 5월부터 작년 12월까지 신한카드, 삼성카드, KB국민카드, NH농협카드, 롯데카드 등 5개 카드사와 계약을 맺고 카드 도난·분실, 위·변조 탐지 시스템(FDS) 개발 프로젝트를 진행해왔다.
이 프로젝트의 총괄관리 담당 직원인 KCB 박 모(39) 차장은 2012년 10~12월 전산프로그램 개발을 위해 파견근무를 하면서 NH농협카드 전산망에 접근해 고객 2천500만 명의 개인정보를 이동식 저장장치(USB)에 복사하는 간단한 방법으로 빼돌렸다.
같은 수법으로 작년 6월 KB국민카드 고객 5천300만 명, 작년 12월 롯데카드 고객 2천600만 명의 인적사항도 손쉽게 얻어냈다. 유출된 고객정보에는 회원의 이름, 휴대폰번호, 직장명, 주소를 비롯해 일부 신용카드 사용 내역 등이 포함돼 2차 피해도 우려되는 상황.
하지만 신한카드와 삼성카드의 고객정보는 빼내 오지 못했다. 고객정보 대량 유출 사태를 빚은 3곳과 달리 상대적으로 강화된 보안 정책으로 피해를 모면했다.
KCB 직원은 삼성·신한카드 전산망에도 접근해 고객정보를 빼내려고 시도했지만 암호화 프로그램에 걸려 실패했다는 게 검찰의 설명이다.
이들 카드사는 고객정보에 암호화 작업을 했을 뿐 아니라 USB에 정보를 저장하지 못하게 하고 프로그램을 테스트할 때는 가상데이터로 작업하도록 했다. 또 외부 PC의 반입을 금지하고 보안장치가 설정된 PC만 사용토록 했다.
하지만 업체에서는 강력한 보안정책 때문이 아닌 운이 좋아서 피해를 비켜간 것이란 평을 내놓고 있다.
카드사 관계자는 “운이 좋았다고 생각한다”며 “다른 카드사들도 신한 삼성과 마찬가지로 보안은 철저하게 운영하는 것으로 알고 있다”고 말했다.
실제로 삼성카드의 경우 박 차장이 삼성카드를 맡을 땐 프리랜서 신분으로 정보에 접근할 수 없었고 신한카드 작업을 할 땐 타 카드사 전산을 개발 중이라 다른 사람이 갔던 것으로 알려졌다.
개인정보를 유출한 카드사 관계자는 “시스템을 테스트할 때 보안 프로그램이 가동된 상황에서 ‘원천 데이터’를 가지고 한다. 주민등록번호의 일부가 가려진 암호화된 데이터로는 고객 패턴 분석이 되지 않는다”고 답답함을 토로했다.
이어 "정상적인 방법으로는 USB에 담을 수 없다"며 "시스템상 특정 파일을 USB에 담으려면 승인을 얻어야 한다"고 덧붙였다.
관계자는 또 "개인정보가 USB에 어떻게 저장됐는지 경위를 파악하고 있다”며 “영업점이나 콜센터에 민원이 들어오지는 않는지, 혹시 있을 수도 있는 2차 피해에 대한 보상대책도 마련 중”이라고 말했다.
금융당국은 이들 카드 3사에 대해 현장검사를 벌여 관련자들을 중징계하고 유출사고가 나지 않은 금융사들에 대해서도 고객정보 관리 실태를 점검할 방침이다. 또 용역업체들의 개인정보 접근을 제한하고 금융감독원에 정보유출 감시센터를 설치하기로 했다.
[소비자가만드는신문 = 김미경 기자]
