▲중국 개인정보 판매 브로커를 통해 받은 카드사 DB 샘플. 이름, 주민번호, 주소, 2자리를 제외한 카드번호와 비밀번호 등이 명시되었다.
김지혜
아이디 '254**'를 쓰는 브로커는 "사이트를 해킹해서 정보를 얻는 게 요즘 더 선호하는 방식"이라며 "원하는 사이트만 말하면 무조건 빼낼 수 있다, 1000개 정도 통으로 판매하고 개당 1500원"이라고 홍보했다. 그는 최근 정보 유출 사건이 발생한 여행·호텔 예약 사이트인 '에바종'도 이런 방식일 것이라고 귀띔했다.
지난 9일 '에바종'의 고객 정보가 해킹으로 이름, 이메일, 전화번호 등이 유출됐으며, 해커는 12일 일부 고객에게 정보를 중국과 베트남에 팔아넘기겠다는 협박 문자 메시지까지 보낸 것으로 알려졌다.
국책은행도 정보보호 허술..."핀테크-간편 결제로 유출 범위 넓어져" 개인정보 유출 사고를 겪은 카드 3사의 재발 방지 노력에도 출처 불명의 개인 정보가 공공연하게 돌아다니고 있었고, 구입도 어렵지 않았다. 유출 사고를 겪은 한 카드사 사장은 "또 다시 터지면 사실상 우린 끝이다, (고객 정보 유출이 일어나면) 문 닫는다는 각오로 정보보호에 힘쓰고 있다"고 털어놨다. 그러나 이제 정보 유출은 일부 카드사만의 문제가 아니다. 전방위적으로 정보가 유출되고 가공되고 무한 유통되고 있는 것이다.
실제로 지난 6월 신한, 삼성카드 등 6개 카드사에서 모바일용 '앱 카드' 명의 도용 사고가 또 터지는 등 진화된 수법을 이용한 정보 유출 사고가 끊이지 않고 있다. 이 때문에 제 2의 카드사 정보 유출 사태가 발생하지 않으려면 전 금융사들의 개인 정보 단속이 필요하다는 전문가들 지적이 나오고 있다.
그러나 금융사에는 여전히 '우리만 아니면 돼'라는 생각이 팽배하다. 유출 사고를 겪지 않았던 금융사들이 특히 그렇다.
최근 KB금융지주를 비롯해 국책 은행인 KDB 산업은행, 한국수출입은행, 그리고 지역 은행들까지 고객 정보 관리 소홀을 이유로 금융당국으로부터 무더기 제재를 받았다.
금융감독원 검사 결과 제재 공시에 따르면 지난 16일 KB금융지주는 기관 제재인 '경영 개선'을 받았다. 신용정보관리 보호인 의무 지정 및 수행 업무 등에 대한 규정이 없고 고객정보 오·남용에 대한 제재 기준이 모호하게 규정돼 있었기 때문이었다
산업은행은 거래종료 이후 파기 또는 별도 저장해야 할 고객 정보(개인 27만4771명, 법인 8794곳)를 조회가 가능하도록 방치한 것으로 나타났다. 위탁업체에 대한 교육 및 처리 현황 점검도 소홀했다. 1개월마다 위탁업체의 개인정보 파기 여부를 서면으로 보고받도록 규정해 놓고도 이를 어겼다. 이로 인해 '경영 유의' 1건, '경영 개선' 1건의 기관 제재를 받았다. 수출입은행도 고객정보 관리 소홀로 지난 10일 5건의 경영 개선 요구를 받았다.
지난 10월 개인 정보 유출로 중징계를 받은 스탠다드차다드(SC)은행은 또 한 번 제재(경영개선 2건, 조치의뢰 2건)를 받는 불명예를 얻었다. SC은행은 자동화기기 관리서버에 접속할 수 있는 인터넷 및 그룹웨어 접속을 차단하지 않았고 외부메일 송수신 기능을 차단하지 않은 채 외부 용역 직원에게 고객 정보가 담긴 단말기를 내줬던 것으로 나타났다.
염흥열 순천향대 정보보호학과 교수는 "모든 금융기관이 정보보호관리체계(ISMS)를 인증 받아 스스로 보안 위험들을 인식하고 부지런히 개선하는 체계가 되어야 한다"며 "그러나 의무가 아니라는 이유로 개인 정보를 많이 보유하고 있는 일부 증권사, 보험사, 카드사 등 금융사들이 이러한 인증을 받지 않고 있다"고 지적했다.
정보보호관리체계(Information Security Management System) 인증은 한국인터넷진흥원(KISA)이 각 기업의 정보보호 관리 수준을 평가·인증하는 제도다. 한국인터넷진흥원은 기업의 자체 보안정책 등 총 104개 평가 기준을 통과한 기업에게 인증서를 발급하고 있다. 정작 대부분 금융회사들은 이런 인증 제도조차 외면한 채 '핀테크(금융과 정보기술의 융합)', 간편결제 등 새로운 서비스 도입에만 열을 올리고 있다.
염 교수는 "최근 핀테크 열풍, 간편 결제 등 편리성이 강조되면서 개인정보를 다루는 처리자가 많아졌고 이는 정보가 유출 될 수 있는 면적이 넓어진다는 걸 의미한다"면서 "유출을 노리는 공격자 입장에서는 카드사 정보 유출 사태보다 공격할 방법이 더 많아져 앞으로 더 큰 유출 사태가 일어날 수도 있다"고 경고했다.
저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지
오탈자 신고
공유하기
"카드사 개인정보 팔아요"... 제2의 유출 사태 무방비
기사를 스크랩했습니다.
스크랩 페이지로 이동 하시겠습니까?
연도별 콘텐츠 보기