고객 개인정보 관리에 허술함을 드러낸 카드사들이 보안 강화를 사전에 인증하는 ‘정보보호 관리체계’(ISMS)를 외면해 온 것으로 드러났다. ISMS는 한국인터넷진흥원(KISA)이 일정 기준 이상의 보호체계를 갖춘 정보통신망 사업자들을 인증해 주는 제도다. 26일 미래창조과학부와 KISA에 따르면 최근 정보 유출 사고를 일으킨 KB국민카드, 롯데카드, NH농협카드는 ISMS 인증을 받지 않았다. 카드사 가운데 ISMS 인증을 받은 곳은 BC카드 단 한 곳이다. ISMS 인증을 받기 위해 통과해야 하는 104개 기준 가운데는 외부인이 주요 전산망에 접근해 저장장치에 정보를 담아 빼 가는 수법을 방지하는 항목도 포함돼 있어 문제를 일으킨 카드 3사가 사전에 인증을 받았더라면 대규모 정보 유출을 방지했을 것이라는 지적도 나온다. 104개 기준에는 외부 직원의 출입·보유장비·업무망 접속 등을 통제하는 ‘외부자 보안’ 항목, 중요 문서 등의 반출입 절차를 마련하는 ‘물리적 보안’ 항목, 외부자가 정보에 접근하는 권한을 한시적으로만 부여하는 ‘접근 통제’ 항목 등이 포함돼 있다. 그러나 카드사들은 ISMS 인증 의무 대상이 아니라는 이유로 그동안 정보보호 관리체계 수립을 외면해 온 것으로 나타났다. 정부는 지난해부터 정보통신서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자에 대해 ISMS 인증을 의무적으로 받도록 하고 있다. 카드사들은 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의무 대상자에서 제외됐다. 대규모 고객 정보를 보유하고 있는 시중 은행은 의무적으로 인증을 받아야 하는 대상에 포함되지만 실제 인증을 받은 곳은 KB국민은행, NH농협은행, 중소기업은행, 상호저축은행중앙회 등 일부에 불과하다. 미래부와 금융위원회 등은 은행과 카드사를 포함한 금융권에 ISMS 적용을 확대해야 한다고 보고 세부적인 도입 방안을 검토하고 있다. 윤샘이나 기자 sam@seoul.co.kr

해외에서도 해킹으로 고객들의 정보가 대량 유출되는 사례가 심심찮게 발생하고 있다. 미국에서는 지난해 11월 최대 쇼핑 시즌인 추수감사절 연휴 기간에 대형 유통업체 ‘타깃’에서 고객 4000만명의 신용카드와 직불카드 등 금융 정보와 주소, 전화번호를 비롯한 개인 정보 7000만건이 빠져나가는 등 모두 1억 1000만건의 정보를 도난당한 것으로 드러나 충격을 던진 바 있다. 미국 당국은 개인 금융 정보 유출 방지를 위해 2006년부터 17개 부처가 참여하는 태스크포스(TF)를 운영하고 있다. 또 정보를 빼낸 해커에게는 징역 20년의 중형을 선고하고 고객 정보를 유출한 회사에도 무거운 벌금을 매긴다. 타깃의 경우 벌금만 30억 달러(약 3조 2300억원)를 물게 될 것이라는 전망이 나온다. 하지만 사고가 끊이지 않아 당국은 부심하고 있다. 일본도 2004년 초고속 인터넷 서비스 업체 ‘야후 BB’의 고객 개인 정보 450만건이 유출된 적이 있다. 하지만 일본은 전반적으로 결제 때 현금 사용 비율이 높고 인터넷 상거래나 카드 거래가 한국만큼 일상화돼 있지 않아 정보 유출의 위험도는 비교적 낮은 편이다. 그럼에도 일본은 한국보다 8년 앞선 2003년 ‘개인정보보호에 관한 법률’을 제정하는 등 개인 정보 유출 문제에 발 빠르게 대처했다. 개인정보보호법에 따르면 개인 정보 유출 시 당국의 과태료 수준이 수천만엔에 달할 정도로 무거워 작은 기업의 경우 ‘개인 정보가 유출되면 망한다’는 인식이 퍼져 있다. 영국에서는 지난해 은행개혁법이 시행돼 은행의 소비자 금융 업무에 대한 감독 체계가 이전보다 대폭 강화됐다. 만에 하나 고객 정보가 유출되는 사고가 일어나면 막대한 벌금과 손해배상 등 폐업 위기에 몰릴 수 있는 후폭풍을 감수해야 하므로 은행들은 잠시라도 고객 정보 관리를 소홀히 할 수 없다. 프랑스도 개인 정보 보호 업무를 정부로부터 독립된 감독기구인 프랑스 국가정보위원회(CNIL)가 총괄하고 있다. 프랑스 은행 등 금융회사들은 업무로 얻은 고객의 개인 정보를 보호한다는 서약서를 CNIL에 의무적으로 제출해야 한다. 워싱턴 김상연 특파원 carlos@seoul.co.kr

2011년 농협 전산망 마비와 현대캐피탈 해킹 사건, 지난해 농협·신한은행 등을 상대로 한 3·20 사이버테러 등 굵직한 사건이 터질 때마다 국내 금융사들은 보안 태세 점검과 강화를 외쳐 왔다. 그러나 금융사들은 지난 몇 년 동안 곳간 문 앞 울타리를 한 겹 더 쳤을 뿐 울타리에 작은 틈만 하나 생겨도 안에 든 재물을 속수무책으로 털리는 허점을 고스란히 드러냈다. 상당수 금융사가 개인 식별 정보 암호화 등의 근본적인 보안 강화 작업을 미뤄 왔기 때문이다. 실제로 이번 사태를 빚은 KB국민카드, 롯데카드, NH농협카드를 비롯한 카드사와 은행권의 개인 정보 암호화는 밑바닥 수준인 것으로 드러났다. 금융사들은 개인정보보호법에 따라 2012년 12월까지 주민등록번호, 비밀번호 등의 고객 식별 정보가 유출, 분실되지 않도록 암호화하는 작업을 완료했어야 했지만 이를 이행한 곳은 거의 없다. 개인 정보 데이터베이스(DB)를 암호화하면 정보가 유출되더라도 식별이 불가능하다. 지난해 국정감사에서 김영주 민주당 의원이 금융감독원으로부터 받은 자료에 따르면 금융사 103곳 중 절반 이상인 60개 기관이 개인 정보를 암호화하지 않았다. 17개 시중은행 가운데 암호화를 완료한 은행은 전북은행 한 곳이었다. 정보 유출 사태를 빚은 카드 3사도 고객 식별 정보를 암호화하지 않은 상태로 보관하고 있었다. 다른 카드사들도 사정은 마찬가지다. 삼성카드와 하나SK카드, 비씨카드 등은 고객 개인 정보에 대한 암호화 작업을 해 둔 상태지만 일부 시스템에만 적용돼 있다. 카드사의 한 관계자는 “그동안은 내부적으로 예산 제약이나 타당성 검토 등의 여러 가지 이유로 고객 DB 전면 암호화를 시작하지 못했는데 최근 여러 기술보안 업체에 상담을 의뢰해 둔 상황”이라고 말했다. 금융사의 정보 보호 예산은 연초에 계획한 예산을 모두 집행하지 않아 ‘대외 과시용’이라는 지적도 나온다. 롯데카드는 2012년 정보 보호 예산액이 85억원이었으나 집행액은 47억원으로, 계획 대비 45%나 덜 투자했다. 국민카드는 예산액을 2012년 113억원에서 지난해 76억원으로 33%가량 줄였다. 2012년 실제로 집행된 정보 보호 예산은 48억원에 그쳤다. 계획한 예산의 42%만 투자한 셈이다. NH농협은행을 포함한 NH농협카드의 2012년 정보 보호 예산액은 무려 1104억원(집행액 971억원)을 기록했지만 지난해는 406억원으로 뚝 떨어졌다. 2011년 농협 전산 사고 여파로 이듬해 예산을 크게 늘렸다가 세간의 관심이 멀어지자 다시 투자금을 줄였다.4대 은행의 정보 보호 예산과 집행액도 상당한 격차를 보였다. KB국민은행은 2012년 정보 보호에 341억원을 투자할 계획이었지만 실제로 투자한 금액은 221억원이었다. 신한은행은 175억원에서 155억원, 우리은행은 186억원에서 175억원, 하나은행은 238억원에서 100억원으로 계획 대비 투자액을 줄였다. 금융당국 관계자는 “정보 보호 예산을 투자로 생각지 않고 지출로만 생각해서 이런 격차가 생긴 것으로 보인다”고 지적했다. 물리적 보안장치는 갖춰져 있지만 이를 운용하는 인력 관리가 허술한 점도 한 원인이다. 2011년 농협 전산망 마비 사태 이후 한국인터넷진흥원(KISA)은 ‘정보기술(IT) 외주 인력 보안 통제 안내서’를 만들었지만 현장에서 규제 효과를 보지 못하고 있다는 지적이 나온다. 오희국 정보보호학회장(한양대 컴퓨터공학과 교수)은 “이동식 저장장치(USB)로 정보를 빼내 가는 등 초보적인 수준의 보안 구멍이 난 것은 제도가 허술하다기보다 이를 지키지 않는 인력의 문제”라고 말했다. 이미 앞서 대규모 개인 정보 유출 사건을 겪은 일부 금융사는 직원이 고객 정보를 조회하거나 출력할 때 관리자에게 실시간으로 통보되고 일주일에 한번 불필요한 고객 개인 정보를 동시에 파기하는 등의 시스템을 마련했지만 물 샐 틈 없는 보안을 보장하기는 어려운 상황이다. 한 카드사 관계자는 “고객 관련 정보를 조회하거나 출력할 때 일일이 관리자의 결재를 받아야 하는 등의 시스템을 두고 있지만 예상치 못한 직원의 ‘일탈’까지 사전에 통제하기는 어렵다”고 말했다. 신종 금융 사기 수법에 취약한 금융권의 보안도 불안 요소다. 최근 신한은행과 농협은행에서 발생한 신종 ‘메모리 피싱’ 수법은 기존의 피싱 범죄가 고객의 계좌 비밀번호와 공인인증서, 보안카드 등의 정보를 빼돌려 돈을 빼 간 것과 달리 금융 정보 유출 없이 이체 정보를 바꿔 돈을 빼돌린 것이다. 윤샘이나 기자 sam@seoul.co.kr 김경두 기자 golders@seoul.co.kr

카드 3사의 고객 정보 유출 이후 ‘~카더라’ 식의 소문이 금융소비자의 불안을 부추기고 있다. 개인 정보 브로커들이 이번 ‘카드 사태’를 빌미로 활개를 치면서 실체가 확인되지 않는 소문들이 나돌고 있는 것이다. 이미 유통되고 있는 개인 정보도 카드 3사에서 털린 고객 정보로 둔갑되고 있는 상황이다. 이에 금융당국은 결제승인 대행업체인 밴사와 미등록 대부업체, 개인 정보를 파는 브로커에 대한 집중 단속에 들어갔다. 오는 3월 말까지 은행과 저축은행, 보험사, 캐피탈, 대부업체 등 전 금융권에 문자메시지와 이메일, 텔레마케팅 등을 통한 대출 권유를 중단하도록 요청할 예정이다. 또 비(非)대면 방식으로 대출을 승인할 때는 대출 모집 경로 확인을 의무화하도록 했다. 카드사를 사칭하는 ‘스미싱’(문자메시지 사기)과 관련해 정부 합동의 ‘주의 경보’를 발령했다. 한국인터넷진흥원에 따르면 지난 2주간 고객 정보 유출과 관련한 내용의 스미싱 문자가 751건이나 발송됐다. 정부는 24일 신제윤 금융위원장 주재로 관계부처 차관회의를 열고 개인 정보의 불법 유통과 활동 차단 조치를 하기로 했다. 금융당국 관계자는 “검찰 조사 결과 이번 카드사의 정보 유출건이 외부로 빠져나가지 않았다”면서 “일부 언론에서 제기한 카드 3사의 고객 정보 유통 가능성은 사실과 다른 것으로 판단된다”고 밝혔다. 또 “그동안 기업 등에서 흘러나온 개인 정보가 시중에 유통된다는 지적이 많아 미등록 대부업체와 부실한 밴사, 개인 정보 브로커를 집중적으로 단속해 불법 유통을 뿌리 뽑겠다”고 강조했다. 금융당국은 검찰과 경찰 등 정부 관계기관이 이날부터 무기한 합동 단속에 나서고, 금융감독원의 ‘불법 사금융 신고센터’를 ‘불법 개인 정보 신고센터’로 확대 운영하기로 했다. 불법 유통되는 개인 정보를 신고한 사람에게는 최대 1000만원을 주는 포상금제도 검토하고 있다. 또 이번 단속에서 적발되면 ‘무관용 원칙’을 적용해 가능한 한 최고 형량을 부과하도록 검찰과 협조하기로 했다. 신용정보법에는 5년 이하의 징역, 5000만원 이하의 벌금을 내릴 수 있다. 김경두 기자 golders@seoul.co.kr

사상 초유의 카드사 개인정보 유출 사태로 국민 불안이 커지는 가운데 현오석 경제부총리의 잇단 부적절한 발언이 파문을 일으키고 있다. 여야는 23일 이번 사태에 대한 금융당국의 책임을 묻는 질문에 현 부총리가 전날 “어리석은 사람은 무슨 일이 터지면 책임을 따진다”고 말한 데 대해 집중 포화를 쏟아냈다. 감독부실에 대한 책임을 져야 할 금융당국을 감싸며 ‘뿔난 민심’을 외면하고 있다는 게 비난의 핵심이다. 이혜훈 새누리당 최고위원은 이날 최고위원회의에서 현 부총리의 발언을 두고 “듣는 사람의 귀를 의심케 하는 망언”이라고 강도 높게 비난했다. 이 최고위원은 “한 식구인 모피아 금융 수장들을 제 식구 감싸기 한다고 해도 뭐라 할 수 없다”며 “책임은 부총리 혼자 따질 게 아니라 국민이 따질 것”이라고 말했다. 심재철 최고위원도 “책임을 당연히 따져야지 눈 감고 넘어갈 생각이냐”며 “성난 민심에 불지르는 발언”이라고 날을 세웠다. 야권에서는 사퇴 촉구 목소리까지 나왔다. 민주당 박수현 원내대변인은 “사상 초유의 금융 사고에 대해 감독실패 책임을 지고 사퇴하라는 건 지극히 당연한 요구”라며 “현 부총리, 신제윤 금융위원장, 최수현 금융감독원장 등 책임자 3인방의 즉각 사퇴를 요구한다”고 밝혔다. 전날 현 부총리가 “우리가 다 정보 제공에 동의해 준 것이 아니냐”라고 말한 부분이 사태를 더욱 악화시키고 있다. 이날 현 부총리는 대외경제장관회의 모두발언에서 “금융소비자 96%가 정보제공동의서를 잘 파악하지 않는 관행을 지적한 것”이라고 말했지만 오히려 “정보 제공을 안 하면 가입조차 안 되는 현실을 부총리가 모르고 있다”는 비난이 나온다. 강병철 기자 bckang@seoul.co.kr

‘주민등록번호 클린센터’ 22일 접속자가 몰리면서 마비됐던 한국인터넷진흥원 주민등록번호 클린센터 홈페이지가 23일 현재 복구됐다. 주민등록번호 클린센터는 22일 오전 ‘주민번호 클린센터 서버 증설 작업 안내’라는 제목을 안내문을 통해 “카드사 개인정보 유출 사고와 관련하여 주민번호 클린센터의 접속이 대폭 증가하여 접속이 원활히 이루어지지 않고 있다”며 “서버 증설 작업을 통해 원활한 서비스가 이루어질 수 있도록 노력하겠다”고 밝혔다. 주민등록번호 클린센터는 최근 국민카드, 농협카드, 롯데카드 등 카드사 3사의 고객 정보 유출사고 여파로 이용자가 폭주하며 접속이 지연되는 문제가 일어났다. 또 주민등록번호 이용내역을 제공해 자신도 모르게 웹사이트에 회원가입 확인과 함께 원할 경우 회원탈퇴가 가능하다. 최근 발생한 개인정보 유출사고로 인해 자신의 개인정보가 나쁜 곳에 사용되지 않았을까하는 불안감이 높아지면서 네티즌들의 방문이 늘고 있는 것. ‘주민등록번호 클린센터’ 소식을 접한 네티즌들은 “주민등록번호 클린센터..아직도 접속 안 돼”, “주민등록번호 클린센터..확인 한다고 뭐가 달라지나?”, “주민등록번호 클린센터..그래도 한 번 확인해보자”, “주민등록번호 클린센터..보안이 뭔지. 요즘 많이 복잡해졌다” 등의 반응을 보였다. 사진 = 주민등록번호 클린센터 홈페이지 (주민등록번호 클린센터) 온라인뉴스부 seoulen@seoul.co.kr

온라인에서 장을 보기 위해 대형마트 홈페이지에 접속하거나 퇴근길 몸이 아파 병원에 들를 때, 전화하기 귀찮아서 간편하게 온라인 홈페이지에서 피자를 시키는 순간. 개인의 주민등록번호와 휴대전화번호, 사는 곳, 직업은 하나의 정보가 돼 해당 기업의 고객정보 데이터베이스(DB)에 차곡차곡 쌓인다. 그들이 요구하는 정보를 입력하지 않으면 다음 단계에 도달할 수 없는 환경에서 고객들은 어쩔 수 없이 자신의 개인 정보를 내어 준다. 기업들은 고객의 특성을 파악해 맞춤형 서비스를 제공하는 것이 주요 마케팅 기법이라고 주장하지만 정작 고객들은 과도한 정보 노출에 피로감을 느낀다. 기업의 무차별적인 개인 정보 수집을 알아차릴 새도 없이 고객의 개인 정보는 줄줄 새어 나가고 있다. 직장인 최연화(29·여)씨는 얼마 전 난생처음 들어보는 한 다이어트 업체에서 상품 가입 권유 전화를 받았다. 최씨가 이용하고 있는 특정 신용카드로 다이어트 프로그램을 결제하면 6개월치 사후관리 서비스를 무료로 제공한다는 내용이었다. 전화를 건 상담원은 “제 돈 주고 하려면 사후 관리만 60만원을 내야 하는데 해당 신용카드로 140만원 상당의 몸매 관리 프로그램을 결제하면 무료로 해 준다”며 홍보에 열을 올렸다. 상담원은 정작 휴대전화 번호를 어떻게 알았냐고 묻는 최씨의 질문에 “고객님께서 정보 제공에 동의하신 걸로 알고 있다”며 말끝을 흐렸다. 최씨는 “신용카드를 만들면서 가맹점 할인이나 포인트 적립 같은 혜택만 생각했지 이런 업체에까지 내 정보를 나눠 주는 것인 줄은 생각도 못했다”면서 “어디까지 내 정보가 퍼져나가는 것인지 알 수 없는 것이 가장 무섭다”고 말했다. 일반 대기업이나 포털 사이트, 병원, 동네의 작은 구멍가게까지 고객을 상대하는 곳이라면 어디든 개인 정보를 수집하고 있다. 카드사와 은행의 개인 정보 대량 유출 사건으로 금융사의 허술한 개인 정보 보안이 도마에 올랐지만 금융사의 정보 보안만 단속한다고 될 일이 아니다. 백화점과 할인마트는 고객의 생일에 맞춰 축하 메시지를 담은 이메일을 보내고 할인쿠폰을 선물로 준다. 기혼자에게는 해마다 결혼기념일에 맞춰 축하 메시지를 보낸다. 고객을 감동시키기 위한 기업의 감성 마케팅은 모두 고객의 주민등록번호 앞자리를 저장해 두고 있기 때문에 가능하다. 병원이나 음식점에서는 고객의 치료 이력이나 상품 구매 내역을 보관하고 있다가 보유하고 있는 휴대전화로 홍보활동을 한다. 대학원생 이현경(32·여)씨는 “몇 년 전 여드름 치료 때문에 피부과에 다닌 적이 있는데 그 뒤로 2년이 넘게 지속적으로 피부관리 상품을 할인해 준다는 문자 메시지가 온다”고 말했다. 이씨는 “병원에 처음가면 의료보험 검색을 위해서 주민번호나 집주소, 개인 연락처 등 신상을 적어 내는데 이런 홍보활동에 쓰이는 줄은 몰랐다”고 말했다. 주민등록번호부터 휴대전화번호, 결혼 유무, 취미까지 기업이 요구하는 고객의 정보는 다양하다. 2012년 8월 개정된 정보통신망법은 영리 목적의 민간사이트에 대해 개인 주민번호를 수집하거나 이용하는 것을 전면 금지했지만 여전히 상당수 온라인 사이트는 주민번호를 요구하는 ‘불법’을 저지르고 있다. 2200만명의 가입자를 보유하고 있는 소셜 커머스 업체 쿠팡은 이름과 성별, 휴대전화번호만 있으면 쉽게 회원가입을 할 수 있지만 정작 상품을 구입할 때는 주민번호를 입력해야 한다. 주요 보험사들은 직업, 직장이름, 결혼 여부를 ‘개인 식별정보’로 분류해 수집하고 있고, 대부분의 카드사는 고객의 집이 자택인지 전·월세인지, 아파트에 사는지 단독주택에 사는지, 자녀가 있는지까지 묻는다. 전문가들은 무차별적으로 개인의 정보를 수집하는 기업도 문제지만 자신의 정보에 대한 보안의식이 떨어지는 개인도 함께 조심해야 한다고 조언한다. 이경호 고려대 정보보호대학원 교수는 “지난해 안전행정부가 실시한 개인 정보보호 실태조사를 보면 국민들의 정보보호법 인지도는 83%까지 높아졌지만 실제 피해를 봤을 때 법대로 이행하는 비율은 30% 수준밖에 안 돼 괴리가 크다”면서 “무차별적인 개인 정보 수집으로 개인이 피해를 보지 않도록 관련 법령에 대한 적극적인 캠페인과 홍보 등이 필요하다”고 말했다. 윤샘이나 기자 sam@seoul.co.kr 이성원 기자 lsw1469@seoul.co.kr

국세청은 납세자들의 신고와 납부를 돕기 위해 마련된 인터넷 사이트인 홈택스(www.hometax.go.kr)의 주민번호와 이름을 조회하는 시스템을 개선했다고 23일 밝혔다. 법인 사업자 대표를 정정하는 과정에서 개인의 주민번호와 이름이 유출될 수 있다는 지적에 대한 후속 조치다. 이전까지는 법인 회원이 사업자등록번호와 공인인증서를 이용해 홈택스에 로그인한 뒤 법인사업자 대표 정정신청 메뉴에 들어가 변경할 새 대표의 주민번호를 입력하면 자동으로 이름이 뜬다. 이 이름이 변경할 새 대표 이름과 같으면 정정 신청을 클릭해 신청 절차를 마치게 된다. 잘못된 주민번호일 경우에는 번호를 확인하라는 메시지가 나온다. 그러나 새 대표의 주민번호 입력 창에 다른 사람의 주민번호를 입력하면 그 사람의 실명이 자동으로 나오도록 시스템이 설계돼 있어 범죄에 악용될 소지를 배제할 수 없다는 지적이 일각에서 제기됐다. 개인 정보를 범죄에 악용할 목적을 가진 사람이 이 사이트에 로그인한 뒤 여러 가지 조합의 주민번호를 입력해 실명을 확인, 이를 통해 얻은 정보를 제3자에게 판매하는 등의 행위를 할 수도 있다는 것이다. 국세청 측은 “홈택스 내의 법인 대표자 명의 변경은 납세자 편의를 위해 지난해 11월 서비스를 시작한 화면”이라면서 “그러나 이런 문제점이 제기돼 보안성 강화를 위해 주민번호와 성명 두 가지를 납세자가 직접 입력해야 인식하도록 변경했다”고 밝혔다. 국세청은 기존 방식도 법인 공인인증서로 홈택스에 접속해야 하기 때문에 특정 개인의 정보유출 가능성은 희박하다고 덧붙였다. 전경하 기자 lark3@seoul.co.kr

유명 화장품을 해외에서 직접 구매(직구)하는 게 훨씬 싸서 평소 ‘해외 직구’를 즐겨 하는 직장인 김은경(26·여)씨. 김씨는 “국내 쇼핑 사이트는 회원 가입에 본인 인증도 해야 하고 보안프로그램도 3개씩 깔려 번거로운데 해외 사이트는 이메일만 제공하면 돼 편리하고 개인정보 유출 가능성이 낮아 좋다”고 말했다. 23일 기자가 직접 국내 인터넷 쇼핑 사이트와 해외 인터넷 쇼핑 사이트의 구매 방식을 비교해 봤다. 먼저 국내 인터넷 쇼핑 사이트를 이용하려면 회원가입이 필수다. 회원가입 시 본인 확인 절차를 먼저 거쳐야 한다. 이를 위해 회원약관, 전자금융 서비스 이용 약관, 개인정보 수집 및 이용, 개인정보의 제3자 제공, 개인정보의 취급 위탁 항목 등에 차례차례 ‘동의합니다’ 항목을 클릭해야 했다. 제3자에게 개인정보를 제공하기 싫어도 확인란을 클릭하지 않으면 가입이 안 된다. 휴대전화 본인 인증을 하면 액티브X 같은 보안프로그램을 깔아야 한다. 이 프로그램이 깔리지 않으면 역시 가입이 안 된다. 휴대전화 본인 인증 시에도 개인정보 제공 동의 등의 3~4가지 항목을 반드시 확인해야 한다. 이후 아이디와 비밀번호 설정, 집 주소 등등의 기본 정보를 제공해야 한다. 대형 인터넷 쇼핑 사이트는 주민등록번호를 요구하지는 않는다. 하지만 외국인이 회원가입을 할 경우 외국인 등록번호를 제출해야 한다. 개인이 소규모로 운영하는 의류 사이트 등에서는 회원가입 시 주민등록번호를 요구하는 곳도 있다. 반면 해외 쇼핑 사이트의 구매 절차는 간단하다. 여성들 사이에서 건강제품, 화장품 구입으로 인기가 많은 미국 인터넷 쇼핑몰 사이트인 ‘아이 허브’에서 구입을 시도해 봤다. 이곳에서는 구매를 위한 회원가입 시 이메일과 비밀번호만 설정하면 된다. 액티브X 같은 보안프로그램도 깔리지 않는다. 다만 외국에서 오는 물건이기 때문에 세관을 통과해야 해 주민등록번호를 입력해야 한다. 하지만 운송 방법을 국제에어메일로 설정하면 입력하지 않아도 된다. 김진아 기자 jin@seoul.co.kr

금융당국이 강화된 개인 정보 보호와 제재 대책을 내놓았지만, 이를 실현하기까지 갈 길이 멀어 보인다. 개인 정보 수집과 관련된 근거가 제각각이어서 법령 정비가 시급하다는 지적이 나온다. 또 개인 정보 보호와 관련된 ‘컨트롤타워’가 없다 보니 부처 이기주의에 따라 영역 다툼이나 충돌, 중복 업무가 발생한다. 현재 개인 정보 보호 업무는 법률에 따라 안전행정부와 방송통신위원회, 금융위원회 등으로 나뉘어 있다. 예컨대 개인정보보호법 21조는 ‘정보 처리자는 보유 기간이 지났거나 정보처리 목적 달성 등으로 개인 정보가 불필요하게 됐을 때 지체없이 파기해야 한다’고 규정하고 있다. 그러나 정확한 보유 기간을 명시하지 않아 각 금융사들은 내규 또는 약관에 자체적으로 고객 정보 보유 기간을 정하고 있다. 반면 신용정보보호법 20조는 신용정보회사 등은 성명, 의뢰받은 업무 처리 내용, 제공한 신용 정보의 내용 등을 3년간 보존할 수 있도록 하고 상법에서는 장부와 영업의 중요 서류는 10년, 전표 등은 5년간 보존하도록 하고 있다. 정태명 성균관대 소프트웨어학과 교수는 23일 “컨트롤타워가 없어 개인 정보 보호가 제각각으로 이뤄지고 있다는 것이 가장 큰 문제”라고 지적했다. 그동안 개인 정보 유출 사고 때마다 컨트롤타워의 필요성이 제기됐지만 부처 이기주의로 논의만 있고 진전이 없다. 대통령 소속 독립기관으로 ‘개인정보보호위원회’가 있지만 집행권이 없는 협의체 기구여서 정부부처로부터 무시받기 일쑤다. 보호위원회도 임기 보장과 예산, 인사권 독립이 필요하다고 주장한다. 변재일 민주당 의원은 “강력한 법 집행과 관리 감독을 위해서는 집행권을 보유한 컨트롤타워가 필요하다”고 말했다. 금융위 관계자는 “올 상반기까지 국회의 협조를 얻어 대책과 관련된 법안 개정안을 마련하겠다”고 밝혔다. 김경두 기자 golders@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

사상 최악의 카드 3사의 개인정보 유출 사고와 관련해 근본적 종합대책을 마련해야 한다는 목소리가 커지고 있다. 각 부처가 잇따라 내놓고 있는 ‘재탕식 개별 대책’보다는 기존의 법과 제도의 문제점을 보다 큰 그림에서 들여다보라는 요구다. 그제 금융위원회의 대책에서 큰 틀은 제시됐지만, 세부적으로 고쳐야 할 내용이 한두 가지가 아니라는 지적이다. 현오석 경제부총리가 이번 사태의 원인을 국민에게 돌리는 듯한 발언을 해 빈축을 샀지만, 정부의 책임을 망각해선 안 된다. 정부와 국회는 차제에 양벌 규정과 중복 처벌, 활용 가치가 낮은 법 규정을 실효적 시각에서 다시 짜야 할 것이다. 현재 개인정보 보호와 관련해 일반법과 특별법, 개별 지침 등이 거미줄처럼 촘촘히 구비돼 있다. 개인정보관리를 총괄하는 ‘개인정보보호법’이 일반법 형태로 운영되고 있고, 정보통신사업자와 관련한 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’뿐만 아니라 신용정보와 전자금융, 복지, 교육분야 등에서 특별법 형태로 개인정보보호운영 규정을 두고 있다. 이들 법안은 안전행정부와 방송통신위원회, 금융위 등에서 개별 총괄하고 있다. 하지만 부처의 역할과 처벌 규정이 달라 혼재돼 있는 게 현실이다. 법과 규정의 운영 목적과 접근 방식이 다르다는 말이다. 공공분야와 민간분야, 온라인과 오프라인에서 달리 적용되고 있다. 일례로 개인정보보호법에는 ‘개인정보 보존 기간을 목적이 달성되면 지체 없이 파기해야 한다’고 규정하지만 특별법과 지침 등에서는 짧게는 5일, 길게는 5년간으로 달리 규정하고 있다. ‘목적 달성’의 해석 기준이 다르니 정보 보유기간의 범위가 애매하게 적용되는 것이다. 지금까지 금융사나 기업은 개인정보를 무차별적으로 모았고, 개인정보를 50여개나 요구한 카드사도 있다고 하지 않은가. 사정이 이렇다 보니 일반법 성격의 개인정보보호법과 특별법 간에 다툼이 존재하는 것이 엄연한 현실이다. 이번 사태를 일파만파로 키운 가장 큰 원인이기도 하다. 특별법 간에서도 충돌하는 사례가 많다고 한다. 국회와 정부는 다음 달 초 개인정보 보호와 관련한 토론에 이어, 2월 임시국회에서 관련법 개정에 나서기로 했다. 각기 고유의 영역이 있는 법안을 ‘일도양단’을 하긴 어려운 측면은 있다고 본다. 하지만 공공기관과 민간사업장의 상당수가 개인정보 예산은 한 푼도 사용하지 않은 채 개인정보를 무차별로 수집하고, 대기업과 중견기업의 절반 이상이 개인정보를 주먹구구식으로 관리하고 있는 상황이다. 이 같은 현실이 비효율적인 법 적용 때문이라면 속히 정비해야 한다. 특별법에 규정하고 있는 세세한 규제 내용들도 통일하고 명확한 기준도 제시해야 한다. 현장에서 실효적으로 적용될 정부 차원의 개선책을 마련하는 것이 가장 시급하다.

국민·농협·롯데카드의 개인정보 유출사고가 발생한 가운데 정보 유출 피해 확인을 위해 주민등록번호 클린센터에 네티즌 접속이 폭주하면서 사이트가 마비됐다. 주민등록번호 클린센터는 23일 중으로 정상화 될 예정이다. 한국인터넷진흥원 주민등록번호 클린센터는 전날 오후부터 접속자가 몰리면서 홈페이지 접근이 어려운 상태다. 주민등록번호 클린센터는 주민등록번호 이용내역을 제공해 자신도 모르게 웹사이트에 회원가입된 사실을 확인할 수 있다. 또 주민등록번호 클린센터는 원할 경우 회원탈퇴도 가능한 것으로 알려졌다. 국민·농협·롯데카드의 개인정보 유출 피해 확인과 개인정보가 나쁜 곳에 쓰지 않을까 불안감이 높아지면서 방문자수가 폭발적으로 늘어나고 있다. 네티즌들은 “주민등록번호 클린센터 접속 불가능”, “주민등록번호 클린센터 어떻게 접속할 수 있을까”, 주민등록번호 클린센터 서버 증설 빨리 끝나야 하는데” 등 다양한 반응을 보이고 있다. 온라인뉴스부 iseoul@seoul.co.kr

사상 최악의 카드사 개인정보 유출 사태와 관련, 여야가 2월 임시국회에서 재발 방지 법안을 최우선 처리하기로 했으나 세부 내용에서 이견을 보이고 있다. 특히 민주당 등에서 국회 국정조사와 금융 당국 책임자의 사퇴까지 요구하고 있어 당장 23일 예정된 국회 정무위원회에서부터 진통이 예상된다. 정성호 민주당 원내수석부대표는 22일 “사안의 중대성을 고려했을 때 정무위 차원의 국정조사라도 이뤄져야 한다”면서 “새누리당에 국정조사 추진을 공식 제안할 것”이라고 밝혔다. 또 민주당 정무위원들은 성명을 내고 금융 당국의 책임을 묻는 차원에서 신제윤 금융위원장과 최수현 금융감독원장의 ‘즉각 사퇴’를 요구했다. 무소속 안철수 의원 측도 사태의 원인을 밝히고 국민 불안을 해소시키는 것이 우선이라며 정무위 차원의 청문회를 요구했다. 이에 대해 새누리당은 반대 의견을 분명히 했다. 김태흠 원내대변인은 “지금은 진상 파악과 국민 불안감을 해소하는 것이 우선”이라며 “이런 것을 이야기할 단계가 아니다”라고 일축했다. 최경환 원내대표도 이날 관련 대책 마련을 위한 당정협의를 마치고 나오는 길에 “지금은 수습이 우선이지 사퇴를 말할 게 아니다”라고 선을 그었다. 여야는 이미 뜻을 모은 재발 방지책에 대해서도 세부 시행안을 두고 입장차를 보였다. 특히 개인정보를 유출한 금융회사에 대해 ‘징벌적 과징금’을 부과하기로 한 데 대한 이견이 컸다. 정부와 새누리당은 정부가 과징금 형태로 이를 거둬들이는 방안을 제시했다. 반면 민주당은 피해자들이 배상을 받는 형식의 ‘징벌적 손해배상제’ 도입을 주장하고 있다. 과징금제는 금융사고를 정부의 세수 확대로 활용하겠다는 오해를 살 수 있다는 것이다. 강병철 기자 bckang@seoul.co.kr 송수연 기자 songsy@seoul.co.kr

카드 3사 최고경영자(CEO)의 줄사퇴에 이어 22일 ‘고객 정보 유출 재발방지 대책’이 발표되면서 신제윤 금융위원장과 최수현 금융감독원장의 거취에 관심이 쏠린다. 이번 카드 사태의 또 다른 책임자로 금융당국을 꼽는 시각이 적지 않아서다. 다음 달에는 카드 3사의 전·현직 CEO에 대한 징계 내용이 나오는 데다 정부 고위직 인사도 예고돼 있어 금융당국 수장의 거취가 관심사로 떠오를 수밖에 없다. 박근혜 대통령은 지난 21일 카드 사태와 관련해 “유출 경로를 철저히 조사해 파악하고 또 책임을 엄하게 물어야 할 것”이라고 밝혔다. 야당은 금융당국 수장 책임론을 강하게 제기하고 있다. 신 위원장은 22일 브리핑에서 금융당국의 책임론과 관련해 “사고 수습이 우선이라고 생각한다”면서 “그런 문제보다 국민이 안심하고 카드를 이용할 수 있도록 하는 데 온 역량을 다하겠다”고 말해 사실상 사퇴 의사가 없음을 내비쳤다. 앞서 그는 기자들에게 “내가 책임질 일이 있으면 책임지겠다”고 말했다. 야당은 고객 정보 유출 사태에 대한 책임으로 금융당국 수장의 사퇴를 요구했다. 국회 정무위원회 소속 민주당 의원들은 이날 성명서에서 “동양 사태와 국민은행 비자금 사태로 인한 국민적 충격이 가시기도 전에 또다시 금융회사에서 개인정보 1억여건이 유출되는 사상 초유의 사건이 발생했다”면서 “그럼에도 불구하고 박근혜 정부와 금융당국에서는 책임지는 사람이 없다”고 비난했다. 금융 노조도 금융당국 수뇌부의 총사퇴를 요구했다. 금융 노조는 “이번 사태 책임자들이 물러나는 동안 금융 당국은 무엇을 했느냐”면서 “당국이 진정 일말의 책임을 느낀다면 사퇴하라”고 주장했다. 김경두 기자 golders@seoul.co.kr

‘최악의 비밀번호 1위’ 게시물이 화제다. 국내에 카드사 개인정보 유출이 파장을 일고 있는 가운데 ‘최악의 비밀번호 1위’가 관심을 끌고 있다. 20일 비밀번호 관리 솔루션 전문회사 플래시데이터는 ‘2013년 최악의 비밀번호 25개’를 공개해 눈길을 끌었다. 스플래시데이터에 따르면 2년 연속 1위를 지켜왔던 ‘password’를 밀어내고 ‘123456’이 1위를 차지했다. 2년 연속 1위였던 ‘password’는 2위로 물러났다. ’12345678’이 3위를 기록했고 ‘qwerty’, ‘abc123’이 뒤를 이었다. 또 ‘123456789(6위)’, ‘111111(7위)’ 등 연속 번호나 반복된 숫자를 사용한 경우 최악의 비밀번호 리스트에 올랐다. 스플래시 데이터 관계자는 “비밀번호는 다양한 숫자나 문자 조합이나 본인이 기억하기 쉬운 문장으로 설정하는 것이 좋다”고 전했다. ‘최악의 비밀번호 1위’ 결과를 접한 네티즌은 “최악의 비밀번호 1위, 진짜 최악이네” “최악의 비밀번호 1위, 해킹 금방 당할 듯” “최악의 비밀번호 1위, 내 비밀번호인데?” “최악의 비밀번호 1위, 참고해야겠다” 등 다양한 반응을 보였다. 사진 = 서울신문DB (최악의 비밀번호 1위) 연예팀 seoulen@seoul.co.kr

‘주민등록번호 클린센터’ 국민, 농협, 롯데카드의 개인정보 유출사고가 발생한 가운데 주민등록번호 클린센터에 접속에 어려움을 겪고 있다. 22일 오전 9시 현재 한국인터넷진흥원 주민등록번호 클린센터에 접속자가 몰리면서 홈페이지가 마비됐다. 주민등록번호 클린센터는 이날 오전 ‘주민번호 클린센터 서버 증설 작업 안내’라는 제목을 안내문을 통해 “카드사 개인정보 유출 사고와 관련하여 주민번호 클린센터의 접속이 대폭 증가하여 접속이 원활히 이루어지지 않고 있다”며 “서버 증설 작업을 통해 원활한 서비스가 이루어질 수 있도록 노력하겠다”고 밝혔다. 주민등록번호 클린센터는 최근 국민카드, 농협카드, 롯데카드 등 카드사 3사의 고객 정보 유출사고 여파로 이용자가 폭주하며 접속이 지연되는 문제가 일어났다. 또 주민등록번호 이용내역을 제공해 자신도 모르게 웹사이트에 회원가입 확인과 함께 원할 경우 회원탈퇴가 가능하다. 최근 발생한 개인정보 유출사고로 인해 자신의 개인정보가 나쁜 곳에 사용되지 않았을까하는 불안감이 높아지면서 네티즌들의 방문이 늘고 있는 것. ‘주민등록번호 클린센터’ 소식을 접한 네티즌들은 “주민등록번호 클린센터..아직도 접속 안 돼”, “주민등록번호 클린센터..확인 한다고 뭐가 달라지나?”, “주민등록번호 클린센터..그래도 한 번 확인해보자”, “주민등록번호 클린센터..보안이 뭔지. 요즘 많이 복잡해졌다” 등의 반응을 보였다. 사진 = 주민등록번호 클린센터 홈페이지 (주민등록번호 클린센터) 온라인뉴스부 seoulen@seoul.co.kr

KB국민·NH농협·롯데카드 등 3개 카드사가 1억여 건의 개인정보를 유출한 가운데 국내 민간사업장 중 절반 이상이 고객 주민번호 등을 암호화하지 않고 보관하는 것으로 드러났다. 또 국내 민간사업장 10곳 중 9곳, 공공기관 10곳 중 5곳 이상이 보안예산 한 푼 없이 막대한 개인정보를 수집하는 것으로 확인됐다. 서울신문이 22일 국회 안전행정위원회 소속 민주당 이찬열 의원실을 통해 입수한 정부의 ‘2013 개인정보 보호 실태 조사’ 보고서에 따르면 민간사업장 중 57.9%는 개인정보보호법에 따라 암호화해야 하는 고객의 주민등록번호를 암호화하지 않은 채 보관 중이었다. 여권번호(40.6%)와 운전면허번호(48.3%) 등의 암호화 미실시율도 높았다. 공공기관과 민간사업자가 해당 개인정보를 암호화하지 않거나 외부에서 개인정보 데이터베이스에 접속할 수 없도록 막는 등 암호화에 상응하는 조치를 하지 않으면 개인정보보호법상 3000만원 이하의 과태료가 부과된다. 최근 개인정보가 유출된 카드 3사 또한 개인정보 데이터베이스를 암호화하지 않아 피해를 더 키웠다는 지적이 제기된 바 있다. 국내 민간사업장 중 95.9%, 공공기관 중 52.1%는 개인정보 보호 예산을 전혀 확보하지 못한 것으로 드러났다. 상시근로자 300명 이상의 대기업·중견기업 중 66.4%가 보안예산 없이 개인정보를 수집하는 등 주먹구구로 관리하고 있었다. 특히 개인정보 유출 사고가 빈번한 금융·보험 사업장 중 79.6%가 개인정보 보호 예산이 전혀 없었다. 개인정보 보호 담당 인력 또한 공공부문은 평균 1.52명, 민간 사업장은 평균 0.55명에 불과했다. 보고서는 안전행정부와 개인정보보호위원회가 지난해 6~8월 중앙부처 등 공공기관 2500곳과 민간사업자 2000곳, 시민 2000명을 상대로 설문조사해 작성됐다. 유대근 기자 dynamic@seoul.co.kr 최훈진 기자 choigiza@seoul.co.kr

정부가 고객정보 유출 방지 대책의 핵심으로 내세운 것은 ‘처벌 강화’다. 시중은행의 경우 연간 15조원이 넘는 매출액을 올리고 있어 이번 같은 사태가 발생하면 최대 1500억원이 넘는 징벌적 과징금이 부과될 수도 있다. 다만 이번 대책이 실제로 적용되려면 관련 법을 모두 개정해야 해 시간이 걸릴 전망이다. 22일 금융위원회 등에 따르면 현행 과징금 600만원, 주의적 경고 수준에 그치는 금융사 정보 유출에 대한 제재 수준을 크게 올려 두 가지 상황에 따라 적용하기로 했다. 불법 수집, 유통된 개인정보를 활용해 영업 활동까지 한 금융사는 매출액의 1%까지 징벌적 과징금을 부과하기로 했다. 관련 법을 개정해야 해 현재 사태를 일으킨 3개 카드사에는 소급 적용되지 않는다. 업계에 따르면 2012년 기준으로 업계 1위인 신한카드 매출액은 4조 5047억원, 문제가 발생한 KB국민카드는 2조 9200억원, 롯데카드는 1조 6742억원이다. 유출된 개인정보로 영업 활동을 하지는 않았더라도 이번 카드 3사의 정보 유출 사태처럼 금융사가 사회적 물의를 일으키면 과징금으로 최대 50억원을 매길 방침이다. 금융사에 대한 제재 규정을 개정해 유출된 개인정보 건수에 따라 임원 해임 등 양형 기준도 강화하기로 했다. 금융사 제재도 현재 영업정지 3개월에서 최장 6개월로 늘어난다. 코리아크레딧뷰로(KCB)와 같은 신용정보사에 대해서도 신용정보법을 개정해 영업정지 등 기관 제재를 도입하기로 했다. 이해선 금융위 중소서민금융 정책관은 “위법성의 중대 여부와 고객에게 미치는 영향 등을 고려해 신규 영업정지로 할 것인지 전체 영업정지로 할 것인지 좀 더 살펴봐야 한다”고 밝혔다. 사전 예방책으로는 무분별한 개인정보 수집을 통제하기로 했다. 카드 신청서를 쓸 때 결혼 유무 등 불필요한 개인정보를 제공하는 행위도 중단하게 할 계획이다. 카드회원 탈회 요청을 한 고객 등 거래 종료 고객 정보는 현재의 고객과는 별도로 나눠 보관·관리하고 외부 영업을 목적으로 한 활용을 엄격히 제한하기로 했다. 또 금융지주사 계열사 간 정보 공유도 제한한다. 앞으로는 금융지주회사법상 특례에 따른 정보 활용은 원칙적으로 신용위험관리 등 내부 경영 관리 목적에 한정되고 사전 동의 없이 고객정보를 외부 영업에 활용하는 경우 업무 처리 절차를 대폭 강화하기로 했다. 내부 통제도 강화해 일정 규모 이상의 금융사에 대해서는 신용정보 관리·보호인을 임원으로 임명해 중요 사항은 최고경영자(CEO)에게 월 1회 이상, 이사회에는 연 1회 이상 정기적으로 정보 보호 상황을 보고하게 된다. 그러나 이런 조치가 실제로 적용되려면 신용정보법 등 관련 법을 모두 고쳐야 한다. 금융 당국은 다음 달 열리는 국회에서 관련 법을 모두 개정하도록 추진할 방침이다. 김승주 고려대 정보보호대학원 교수는 “처벌 수준을 높이는 것은 바람직하지만 문제는 그게 실제로 운영될지 여부”라면서 “정부가 정해 준 가이드라인을 다 따랐는데도 문제가 생기면 징벌적 과징금을 부과하겠다는 것인데 금융사 입장에서 납득할 수 있을지 의문”이라고 지적했다. 정태명 성균관대 소프트웨어학과 교수는 “안전행정부, 방송통신위원회, 금융위원회 등 각 부처에서 개인정보 관리가 제각각 이뤄지는 것도 문제인데 이에 대한 대책은 빠졌다”면서 “카드사뿐만 아니라 금융 당국의 감독기능 부실도 문제인데 이에 대한 언급은 없다”고 말했다. 김진아 기자 jin@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

신용카드사 개인정보 유출 파문이 확산되는 가운데 미국에서도 대형유통업체 ‘타깃’의 고객 정보가 해킹돼 곳곳에서 2차 피해가 발생하고 있다. 타깃은 미국에 1800개 매장을 가진 대형마트로, 월마트에 이은 2위 업체다. 22일 뉴욕타임스, 월스트리트저널 등 미국 언론에 따르면 이번 해킹으로 약 7000만명에 달하는 고객 정보가 유출된 것으로 확인됐다. 그중 4000만명은 신용카드와 직불카드 번호, 카드 만료일, 카드 뒷면 보안번호 세 자리까지 유출됐다. 타깃 외에도 명품백화점 니먼마커스 등 소매업체 6곳의 고객 정보가 유출됐다. 동유럽권 해커 그룹으로 추정되는 해커들은 결제용 카드리더기(POS)에 악성 코드를 심은 뒤 카드 마그네틱 선에 담긴 정보를 복사해 가는 방법을 이용했다. 컨설팅업체 재블린연구소는 업체들이 감당해야 할 피해액이 최소 180억 달러(약 19조 2200억원)에 달할 것으로 전망했다. 사건이 발생하자 씨티, JP모건체이스, 뱅크오브아메리카, 웰스파고 등 대형은행들은 직불카드와 신용카드를 재발급해 줬다. 타깃은 카드도용방지서비스를 1년간 무상으로 제공하겠다고 밝혔다. 하지만 2차 피해가 속속 발생하는 등 사태가 악화되고 있다. 소송도 수십건 제기된 상태다. 미국 보안 전문 블로그 크렙온시큐리티는 유출된 신용카드 정보가 암시장에서 장당 20~100달러에 판매되고 있다고 밝혔다. 타깃 이름으로 된 스미싱 이메일까지 등장했다. 텍사스주 경찰은 최근 위조 신용카드로 수만 달러를 결제한 20대 멕시코인 2명을 검거했다. 이민영 기자 min@seoul.co.kr

‘카드 대란’이 수그러들지 않고 있다. 고객들도 졸지에 정보가 털려 우왕좌왕하고 있지만 금융사 직원들도 미처 준비가 안 된 상태에서 폭주하는 고객들을 맞다 보니 황당한 백태가 속출하고 있다. 기본 용어조차 모른 채 엉터리 안내를 하는가 하면 고객 이탈을 막는 데만 급급해 “우리 카드는 안심해도 된다”는 궤변까지 늘어놓고 있다. 실무 지식이 부족한 본사 인력이 비상 투입되면서 혼선이 더욱 가중되는 양상이다. 직장인 A씨는 22일 롯데카드 홈페이지에 접속했다가 눈을 의심했다. 뒤늦게 자신의 정보 유출 여부를 확인해 보려고 했더니 신용정보 제공 활용에 동의하라는 항목이 있는 것이었다. A씨는 일단 피해 확인부터 하자는 생각으로 ‘동의 안 함’에 체크했다. 그랬더니 ‘동의하라’는 안내 문구가 곧바로 떴다. 정보 제공에 동의하지 않으면 피해 여부를 조회조차 할 수 없는 것이었다. A씨는 “정보가 유출돼 이 난리인데 ‘정보 제공 동의’ 항목이 버젓이 있는 것 자체도 놀라웠지만 동의하지 않으면 조회를 못 하도록 막아 놓은 발상이 더 기가 막혔다”며 어이없어했다. 재발급을 자제해 달라는 대국민 호소문까지 발표한 롯데카드는 “정보 유출이 지지난해에 이뤄졌으니 지난해에 발급받은 카드는 바꾸지 않아도 된다”는 ‘당당함’도 보이고 있다. 국민은행 창구에서는 더 황당한 일이 벌어졌다. 카드를 재발급해 달라고 했더니 직원이 “신용등급이 떨어질 수 있다”며 만류했다. 카드를 재발급하려면 신용 상태를 조회해야 하고 그렇게 되면 조회 횟수가 올라가 신용등급이 떨어질 수 있다는 ‘친절한’ 안내였다. 통상적으로는 맞는 얘기다. 신용 조회는 카드 발급, 카드론, 은행 대출 등 신용 상태에 변동을 줄 소지가 있을 때 이뤄지기 때문에 잦으면 불리하다. 하지만 정보 유출에 따른 재발급 업무를 진행하면서 신용등급 불이익 운운하는 것은 ‘견강부회’에 가깝다. 또 다른 지점에서는 “우리(국민카드)는 롯데카드나 농협카드와 달리 카드번호와 유효기간은 새 나가지 않았다”면서 자랑 아닌 자랑까지 늘어놓았다. 국민카드에서는 결제 은행 변경을 둘러싸고 실랑이가 벌어졌다. 국민은행 계좌에서 카드 대금이 빠져나가도록 해놓은 B씨는 국민카드와 국민은행 정보가 모두 유출됐다는 소식에 결제 은행을 바꾸려 했으나 “국민은행의 다른 통장으로만 바꿀 수 있다”는 직원의 답변에 그냥 돌아서야 했다. 국민카드 측은 “다른 은행으로 변경이 가능한데, 직원들이 고객 응대 요령을 숙지하지 못한 채 현장에 투입돼 빚어진 일”이라고 해명했다. 카드 3사와 국민은행은 지난 20일부터 본점 인력과 퇴직 인력 등을 창구 현장과 콜센터에 대거 투입했다. C씨는 평소 거래도 많지 않아 농협카드와 아예 인연을 끊기로 하고 ‘탈회’를 요청했다. 그랬더니 직원이 “탈회요? 그게 뭔가요?”라고 반문해 어이가 없었다는 경험담을 페이스북에 올렸다. C씨는 “탈회가 어려운 용어인 것은 사실이지만 카드 해지와 탈회의 차이를 연일 매스컴이 보도하고 있는데 고객도 아니고 해당 금융사 직원이 모른다는 게 말이 되느냐”고 혀를 찼다. 해지는 카드만 없애는 것이고 탈회는 자신의 개인정보까지 모두 삭제하는 것이다. 농협카드는 카드를 재발급해 주면서 칩 비용으로 1000원을 받았다가 “본사 공문을 오해한 일부 지점의 잘못된 처신이었다”며 환불해 주기도 했다. 국민은행과 SC은행은 기존 통장을 가져오면 무료로 재발급해 주고 있지만 그러지 않으면 ‘분실’로 간주, 2000원의 수수료를 받고 있다. 카드 3사도 사용 내역을 무료로 알려주는 문자 알림 서비스를 신청한 사람에게만 제공하기로 해 원성을 사고 있다. 안미현 기자 hyun@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr