삼성카드 고객 80만 명 개인정보 유출 파문

금융권의 해킹과 개인정보 유출 사태가 잇따르면서 근본적인 대책마련이 시급하다. 은행과 카드, 캐피탈 등 전 금융권으로 확대되고 있는 개인정보 유출로 고객들의 불안이 점차 가중되고 있다. 특히 최근 발생한 삼성카드는 외부 공격이 아닌 내부 직원에 의해 발생해 충격을 더하고 있다. 더 큰 문제는 이러한 해킹과 개인정보 유출이 끊이지 않고 있다는 점이다. 올 4월 현대캐피탈 해킹 사태로 175만 명의 고객 정보가 유출된 데 이어 금융전산망 전체가 마비된 사상 초유의 농협 사건이 터졌다. 이 뿐만이 아니다. 최근 신한캐피탈은 자체 신용정보조회시스템(CSS)을 만든 뒤 점검하는 과정에서 직원이 당사자 동의 없이 신용정보를 조회하다 금융감독원에 적발됐다. 지난 7월에는 SC제일은행 직원 10명이 가족, 친척, 친구 등의 개인신용 정보를 466차례에 걸쳐 무단 조회한 사실을 금감원이 적발해 은행 측에 징계를 요구하기도 했다. 외환은행 직원들도 개인적인 목적으로 개인 신용정보를 1173회나 조회한 사실이 금감원 종합검사에서 적발됐다. 은행과 카드, 캐피탈 등 거의 모든 금융사들의 고객 회원관리에 허점을 보였다는 지적이다. 삼성카드 개인정보 유출 어떻게 발생했나 이번 개인정보 유출에 가장 큰 논란을 불러일으킨 곳은 삼성카드다. 삼성카드의 개인정보 유출은 지난 8월 29일 내부 고객이 홈페이지를 통해 민원을 접수하면서 알려진 것으로 파악되고 있다. 또 개인정보 유출은 내부 소행으로 삼성카드 직원이 회원 정보 내역에 대해 돈을 받고 팔았던 것으로 알려졌다. 이에 대해 당시 삼성카드 내부 감사 책임자는 고객 민원에 대해 내부 확인에 들어갔고 감사 책임자는 고심 끝에 지난 8월 30일 경찰에 신고한 것. 그런데 개인정보 유출이라는 초대 사건에 대해 삼성카드가 쉽게 인정하기에는 쉽지 않은 일. 이는 결국 개인정보 유출 사건을 고객이 아닌 삼성카드 감사 담당자 측에서 먼저 발견하고 추가 피해를 막기 위해서라는 명문 때문이라는 게 한 관계자의 말이다. 업계 한 관계자는 “어차피 개인정보가 유출됐다는 사실이 발생한 이상 삼성카드에서 먼저 발빠르게 움직였다는 명분을 만들기 위한 것일 수 있다”며 “결국 삼성카드가 아닌 고객이 먼저 시스템을 먼저 파악한 셈”이라고 지적했다. 또 당초 삼성카드는 개인정보 유출 규모가 20만 명으로 금융감독원과 남대문 경찰서에 보고했고 유출 경위는 나이와 직장, 이름, 휴대전화번호인 것으로 알려졌다.

그러나 지난 8일 경찰 압수 수색을 한 결과 이보다 80만 건의 고객 정보가 빠져나갔다고 자술한 내부 직원의 사실 확인서를 제출했다. 당초 알려진 20만 건에 비하면 4배 많은 개인정보가 유출된 셈이다. 더욱이 개인정보 역시 나이와 직장, 휴대전화번호, 이름 외에도 거래내역과 주민등록번호 등 추가 유출 가능성도 배제할 수 없는 상황이다. 삼성 보안과 금융 등에 정통한 복수 관계자는 “삼성의 개인정보 현황을 보면 이름과 주민등록번호, 직장, 나이 출신지역, 카드 거래내역 등이 모두 한 파일로 저장돼 있다”면서 “삼성카드가 공식적으로 발표한 4개 정보 외에 추가 개인정보가 유출됐을 가능성은 상당히 높다”고 말했다. 그는 특히 “카드내역거래서는 고객의 성별은 물론 소비행태와 언제 카드를 가장 많이 이용하는지 실시간 데이터별로 나와 있다”며 “이 자료를 받은 사람은 각 고객들의 소비 행태를 쉽게 파악할 수 있다”고 설명했다. 예컨대 A고객의 경우 거래내역서를 보면 결재를 어느 지역에서 어떤 음식을 가장 많이 먹는지, 어느 백화점을 자주 가는지, 술집 혹은 어느 음식점을 자주 이용하는지 등 한달 동안의 소비 통계를 실시간 데이터로 확인이 가능한 셈이다. 또 회원의 주민등록번호는 물론 연봉과 회사주소까지 모든 내용이 거래내역서에 담겨 있어 이 자료가 실제로 유출됐을 경우 삼성카드 회원들의 신상정보에 심각한 타격을 줄 전망이다. 이 관계자는 “애초에 기본적인 이름과 전화번호, 주소, 나이, 성별, 거래내역서 등을 따로 분류하지 않는다”면서 “삼성카드 측도 이 내용을 알고 있을 것으로 본다”고 강조했다. 더 큰 문제는 금융권의 해킹 및 개인정보 유출에 대한 금융사의 관리가 허점 투성이라는 점이다. 전문가들은 이제라도 내부 보안시스템을 철저히 강화해 비슷한 사건이 재발하지 않도록 해야 한다고 강조하고 있다. 고객정보를 열람할 수 있는 권한을 최소화하고 개인정보보호와 관련된 내부규정을 제정해 이를 어길 경우는 엄중한 처벌을 통해 재발을 방지하는 한편 보안업계 출신의 보안담당임원(CSO.Chief Security Officer)을 별도로 둬 내부 보안을 좀 더 강화시킬 필요가 있다는 주장도 제기되고 있다. 삼성경제연구소의 김병완 박사는 “기업이나 금융기관에서 보안 관련 투자는 수익이 나지 않는다는 이유로 소홀히 하는 경향이 있다”며 “내부 규정 및 감독체계의 강화와 철저한 시행만이 정보유출 사건을 막을 수 있을 것”이라고 말했다.