KB국민·롯데·NH농협카드 등 카드 3사에서 고객정보 수천만 건이 추가 유출됐고, 대출중개업자가 이 정보를 시중에 유통시켰다는 사실을 금융 당국이 이미 이달 초쯤 알고 있었지만, 검찰이 지난 14일 이 같은 수사 결과를 발표할 때까지 별다른 조치를 취하지 않고 침묵으로 일관했던 것으로 확인됐다. 금융 당국은 검찰이 추가 수사 결과를 발표하자 뒤늦게 해명에 나서 “2차 유출은 없다”고 거짓말을 한 데 이어 처음부터 이번 ‘카드사태’에 안일하게 대응했다는 비난이 커지고 있다. 16일 금융권 등에 따르면 금융 당국은 이달 초 검찰로부터 카드 3사 고객정보 추가 유출 정황이 포착됐다는 사실을 파악했다. 금융 당국의 관계자는 “검찰로부터 이달 초 추가 (고객정보) 유출 정황이 나왔고 조만간 수사 결과를 발표할 예정이라는 얘기를 들었다”고 말했다. 이 관계자는 “지난 10일 개인정보 유출 방지 종합대책을 발표할 때는 불법 유통을 전제로 한 대책이라 (추가 유출 사실을 언급하지 않아도) 큰 문제가 없을 것이라고 판단했다”고 덧붙였다. 그러나 지난 10일 정부 합동으로 종합대책을 발표하고 불과 나흘 뒤인 14일 창원지검 특수부가 8270만건의 고객정보가 대출중개업자 손에 넘어갔다고 다시 발표하면서 3대 카드사 회원인 국민들은 두 번 혼란을 겪었고, 금융 당국 스스로도 망신을 자초했다는 비판이 나온다. 금융 당국은 검찰이 이 수사 내용을 발표한 14일 오후 직전까지도 “검찰 수사 내용을 파악하고 있다”고 거짓말을 했다가 사안이 생각보다 심각하게 돌아간다고 파악하자 나중에서야 “검찰의 수사 결과를 자세히 알 수 없었다”고 해명했다. 금융감독원 관계자는 “지난 4일 검찰로부터 롯데카드와 NH농협카드 고객정보가 추가 유출됐다는 것을 알게 돼 다음 날 바로 검사에 착수했고 유출 정보 외부 유통사실 등은 검찰의 수사 결과 발표 전날인 13일 알게 됐다”고 밝혔다. 이어 “검찰이 수사 진행 상황을 구체적으로 알려주지 않기 때문에 금융 당국으로서는 어떻게 할 수 없었지만 수사 결과를 안 다음에는 즉시 검사에 들어갔다”고 해명했다. 금감원은 17일 KB국민카드를 재검사할 예정이다. 검찰 역시 고객정보를 빼돌려 구속된 전 코리아크레딧뷰로(KCB) 직원 박모씨의 입만 바라보면서 부실 수사를 했다는 비판에서 벗어나기 어려울 전망이다. 지난달 박씨는 국회 국정조사에서 자료를 자신의 집에 보관했을 뿐 외부로 유출하지 않았다고 주장해 왔다. 금융권과 카드사 고객들은 지난 1월 카드사 고객정보 유출 사건이 발표됐을 때부터 외부 유출 가능성을 제기해 온 터라 금융 당국과 검찰의 이런 잘못된 대응 방식에 비판의 목소리를 높이고 있다. 금융권 관계자는 “카드사 고객정보가 굉장히 고급 정보라 이용 가치가 있었을 텐데 그걸 외부로 유출하지 않았다는 것 자체가 이해할 수 없는 일임에도 범법자의 말을 믿었던 것이 잘못된 일”이라고 꼬집었다. 롯데카드 고객 송모(60·여)씨는 “KB국민카드나 NH농협카드는 고객정보가 유통됐다고 보도됐는데 롯데카드 고객정보의 유통 여부는 확인되지 않아 불안하다”면서 “이전만 해도 고객정보가 시중에는 유통되지 않았다고 해서 불안하긴 했지만 (당국의 말을) 믿고 카드를 재발급받지 않았는데 이제는 어떻게 해야 할지 모르겠다”고 말했다. 염흥열 순천향대 정보보호학과 교수는 “비밀번호나 CVC(카드 뒷면에 새겨진 유효성 확인 코드) 번호가 유출되지 않아 문제가 없다는 것 자체가 잘못된 생각”이라면서 “해외 쇼핑 사이트 등에서는 카드번호만 알아도 얼마든지 결제가 가능한데 이에 대한 피해 대책은 생각하지 못하고 있다”고 지적했다. 김진아 기자 jin@seoul.co.kr

지난 1월 유출된 것으로 밝혀진 신용카드사의 1억여건 개인정보 가운데 8300만건이 대출 중개업자에게 넘어간 사실이 뒤늦게 확인됐다. 2차 유출 가능성을 일축한 검찰과 금융당국의 큰소리가 허언이었음이 드러난 것이다. 이 자료들은 이미 복사본으로 배포된 상태여서 신분증 위조 등으로 인한 추가 피해 우려가 크다. 유출된 정보는 주민등록번호와 신용카드 유효기간 등 무려 21개나 된다. “2차 유출은 없다”는 당국의 잇단 발표를 철석같이 믿었던 고객들은 또다시 불안감에 휩싸이게 됐다. 그렇다면 카드를 바꾸려고 앞다퉈 금융창구를 찾은 발 빠른 고객들의 대처가 현명했던 것 아닌가. 이번 사태는 검찰의 부실 수사와 금융당국의 사안을 보는 안일함이 만든 합작품이다. 2차 피해가 우려된다는 지적에도 검찰은 “원본과 1차 복사 파일을 압수해 추가 유출은 없다”고 강조했다. 금융위원회와 금융감독원의 수장은 검찰의 말만 믿고 “유통된 정보가 없으니 2차 피해는 없고, 100% 안심하고 사용해도 된다”고 단언했다. 이는 결국 2차 유출이 확인되면서 식언이 되고 말았다. 이번 개인정보 유출 사고에서 드러났듯 금융당국의 관리실태는 과연 감독기관으로서 자격이 있는가 의구심을 가질 정도로 허술하기 짝이 없다. 금융당국의 일련의 발언이 일단 여론의 질타를 피하고 보자는 생각에서 나온 것이라면 문제는 심각하다. 금감원은 어제 2차 피해를 방지할 후속책을 내놓았다. 전 금융권에 휴대전화 번호를 도용한 문자메시지를 차단하는 시스템을 도입하고, 신분증 진위를 확인하는 서비스를 가동하겠다는 내용이다. 일부 카드사의 정보유출 실태를 다시 점검하는 방안도 검토 중이라고 한다. 사후약방문이다. 정부는 이미 지난주에 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표한 바 있다. 사고가 터지면 허둥지둥 쏟아내는 단기 대책은 실효성이 떨어지게 마련이다. 당연히 시장 혼란도 뒤따른다. 2차 개인정보 유출로 이제 금융당국은 콩으로 메주를 쑨다고 해도 믿지 못할 만큼 국민의 신뢰를 잃었다. 금융당국이 자초한 것이다. 정부의 개인정보 정책을 못 믿겠다며 국정조사를 벌여야 한다는 주장까지 제기되는 상황이다. 경제정책 등에서도 금융당국에 대한 신뢰는 깨질 대로 깨졌다. 금융당국은 개인정보 2차 유출 경위와 원인 등 진상을 낱낱이 밝혀야 한다. 관련 당사자들은 스스로 책임지는 모습을 보이기 바란다.

지난 14일 창원지검이 카드 3사에서 유출된 1억 400만건의 개인정보 중 8270만건이 시중에 이미 유통됐다는 발표를 하자, 카드 3사의 ‘쥐꼬리’ 소비자피해 보상이 다시 도마에 올랐다. 카드 3사는 월 300원인 카드 사용 문자서비스를 무료화한다는 대책을 내놨었다. 금융감독원이 소비자단체의 국민검사청구를 기각한 것 역시 한 치 앞을 못 본 결정이었다는 비판도 나온다. 16일 KB국민·NH농협·롯데카드 등 카드 3사는 개인정보의 시중 유통 발표에 따라 정상근무 체제로 전환한 지 한 달여 만인 지난 15일부터 비상근무를 다시 시작했다. 지난달에 500만명 이상이 이미 카드 교체나 탈회(회원도 탈퇴하고 정보도 없앰)를 한 상황이어서 이날까지 대규모 카드런은 없었다. 하지만 2차 피해가 없다는 것을 전제로 피해 보상에 인색했던 카드사들이 보완책을 내놓아야 한다는 목소리가 높다. 개인정보 유출이 처음 알려진 지난 1월 8일 이후 가장 많이 거론된 보상안은 카드 연회비 면제와 정신적 피해 보상이었다. 카드사들은 개인정보가 유출된 탈퇴 회원과의 형평성 문제를 제기하며 연회비 면제를 하지 않았다. 개인정보 유출 피해도 구체적인 금전 피해만을 보상하게 된다. 하지만 2차 피해가 알려지면서 카드사들은 여론의 추이를 주시하고 있다. NH농협카드 관계자는 “결국 소비자가 두 번이나 속게 됐다는 점을 감안할 때 추가 보상책도 검토해 볼 수 있다”고 말했다. 롯데카드 관계자는 “연회비를 1인당 5000원만 면제해도 전체 금액이 500억원으로 당기순이익의 30%를 넘는다”고 말했다. 금융소비자원(금소원)이 지난달 5일 204명의 개인정보 유출 피해자를 모아 청구한 국민검사청구를 금감원이 지난 5일 기각한 데 대한 비판도 나온다. 금감원은 사건 10일 만에 국민검사청구를 받아들인 동양그룹 회사채 및 기업어음(CP) 사태와 달리 신청인들이 새로운 피해나 문제점을 제시하지 못했다고 밝혔다. 하지만 2차 피해가 현실화되면서 금감원이 10일이나 먼저 검사에 착수할 수 있었던 기회를 날렸다는 비판을 면하기 힘들어졌다. 금감원과 반대로 국민감사를 준비 중인 감사원은 탄력을 받게 됐다. 금소원, 경제정의실천시민연합 등이 감사원에 국민감사를 요구한 것에 대해 감사원은 즉시 자료 수집에 착수한 바 있다. 김진아 기자 jin@seoul.co.kr

고객 정보 8270만건이 시중에 유통된 것으로 뒤늦게 드러나면서 2차 피해 우려가 커지고 있다. 특히 KB국민카드 고객 5370만건, NH농협카드 고객 2430만건이 대출중개업자의 손에 들어가면서 ‘보이스피싱’ 등 각종 금융 사기에 노출될 가능성도 커졌다. 지금까지 카드사 고객 정보의 2차 유출은 없었다고 밝혀 온 금융 당국의 ‘장담’은 ‘허언’이었음이 확인됐다. “시중에 유통된 정보는 없다”고 단언했던 만큼 금융 당국의 신뢰는 땅에 떨어지게 됐다. 이미 여러 차례 거론됐던 ‘경제팀 물갈이’는 이제 피할 수 없게 된 게 아니냐는 지적에도 힘이 실리고 있다. 언론이 여러 차례에 걸쳐 유출된 카드 3사의 고객 정보가 시중에 유통됐을 가능성을 지적했지만, 현오석 부총리 겸 기획재정부 장관, 신제윤 금융위원장, 최수현 금융감독원장은 모두 한목소리로 “카드 3사의 유출 정보는 시중에 유통되지 않았다”고 단언해 왔다. 황교안 법무부 장관도 마찬가지였다. 14일 검찰과 금융권에 따르면 카드사 고객 정보가 시중에 유출된 정황은 창원지검 특수부가 코리아크레딧뷰로(KCB) 전 직원 박모(39)씨와 최초 유통자인 광고대행업자 조모(36)씨 등을 추가로 수사하는 과정에서 밝혀졌다. 검찰은 지난 1월 중간수사 결과 발표 당시 박씨와 조씨로부터 고객 정보 원본이 담긴 이동식저장장치(USB)와 복사본을 모두 압수해 시중에 추가로 유통되지 않았다고 밝혔지만, 실제 박씨가 조씨에게 넘긴 정보는 밝혀진 것보다 8050만건이 더 많았다. 당초 110만건의 고객 정보를 넘겨받은 것으로 밝혀져 불구속 기소된 대출중개업자 이모(36)씨도 당초 알려진 것에 비해 70배가 많은 7800만건의 정보를 넘겨받아 이를 대출영업에 활용한 사실이 적발됐다. 이번에 구속된 대출중개업자 김모(34)씨와 한모(34)씨가 조씨로부터 건네받은 고객 정보 470만건은 어느 카드사로부터 빠져나온 것인지조차 파악되지 않아 카드사별 정확한 유통 규모는 가늠조차 할 수 없는 상태다. 카드업계에서는 당초 박씨가 카드 3사로부터 빼돌렸다고 알려진 1억 400여만건보다 앞서 8050만건의 고객 정보를 빼낸 사실에 대해 당혹스럽다는 반응을 보였다. 박씨가 검찰 조사와 지난달 국정조사 청문회에서 카드 3사의 카드 위변조 탐지시스템(FDS) 구축 과정에서 고객 정보를 대량으로 빼돌렸다고 진술한 것과 달리 수십~수백만건에 이르는 고객 정보를 수시로 유출했다는 것을 방증하기 때문이다. 일각에서는 이씨 등 대출중개업자들이 유통시킨 정보 가운데 일부가 서울 등 수도권에서 활동하고 있는 불법 대환대출업자, 카드깡업자에게까지 흘러간 것으로 추정하고 있다. 업계 관계자는 “박씨가 각 카드사로부터 테스트 샘플로 받아 간 고객 정보를 100만~200만건씩 수시로 빼돌렸다는 이야기도 나온다”면서 “신용 정보를 바탕으로 급전이 필요한 사람들에게 접근하는 카드깡업자에게까지 이 정보가 흘러들어 갔을 것으로 보고 있다”고 말했다. 그동안 추가 유출 가능성을 전면 부인했던 금융 당국은 난처한 처지에 놓였다. 금융권 관계자는 “유출된 카드사 고객 정보가 이미 DB 브로커 사이에서 고급 정보로 거래되고 있었다”면서 “금융권 사람들도 아는 이야기를 금융 당국이 몰랐을 리 없고, 몰랐다면 그것 자체도 문제이고 알면서도 감춘 것이라면 더 큰 문제”라고 지적했다. 지난 10일 정부 합동으로 ‘개인정보 유출 재발 방지 종합대책’을 발표한 것도 정부 스스로 망신을 자초했다는 지적도 나온다. 금융업계 관계자는 “검찰 수사 상황도 제대로 알아보지 못하고 대책을 발표한 꼴”이라면서 “이미 대책을 발표한 만큼 추가로 대응할 수 있는 일이 있겠느냐”고 꼬집었다. 윤샘이나 기자 sam@seoul.co.kr 김진아 기자 jin@seoul.co.kr

카드사 개인정보 유출 사태 이후 금융당국의 영업정지 조치로 약 한 달간 일손을 놨던 텔레마케팅(TM) 업체 직원들 상당수가 2월치 급여를 아직 못 받은 것으로 나타났다. 금융당국은 TM영업제한 조치가 텔레마케터들의 고용불안을 야기한다는 지적이 일자 뒤늦게 영업재개를 허용했지만 정작 각 금융사가 임금 보전에 늑장 대응을 하면서 텔레마케터들의 생계 위협 우려가 현실로 드러났다. 14일 금융권에 따르면 상당수 카드사가 외주 TM업체에 월급일인 지난 10일까지 인건비 등을 전달하지 않았다. 텔레마케터 직원들의 급여 보전 수준에 대해 합의를 마친 농협카드와 현대카드, 하나SK카드 등 일부 카드사를 제외한 나머지 카드사들은 급여 보전 비율과 지급 방법을 두고 TM업체 측과 협의를 벌이고 있다. 현대카드와 농협카드는 기존 급여의 90~100%를 지급했고 하나SK카드는 상담직원 인건비 150만원을 보전해주기로 했다. 다른 카드사들은 지난 1월 금융당국으로부터 TM영업 정지조치를 받은 뒤 TM업체 소속 텔레마케터들에게 기존 급여의 70~100% 수준을 지급한다는 방안을 검토했지만 실제 이행되고 있지 않은 셈이다. 앞서 지난달 고용노동부는 금융당국과 고용안정지원 태스크포스(TF)를 꾸려 “기존 임금의 70%를 휴업수당으로 지급하라”는 지침을 내놨다. 한 카드사의 아웃바운드 TM영업 업무를 담당하는 업체 영업팀장인 최모(37·여)씨는 “직원들에게 나눠줘야 하는 인건비가 아직 들어오지 않아 직원들의 생계불안이 심각한 상황”이라면서 “지난달 TM영업 재개 이후에도 사실상 적극적인 영업을 못하는 상황이어서 실적이 낮았던 것은 사실이지만 그것은 마케터들의 잘못이 아니라 애초에 영업할 수 있는 환경이 아니었던 것이 문제”라고 말했다. 아직 외주TM업체에 인건비를 지급하지 않은 한 카드사 관계자는 “정부와 당국의 방침에 따라 기존 급여의 70%를 보전해주겠다는 내부방침은 세운 상태지만 다른 회사들의 지급 수준을 고려하지 않을 수 없어 아직 분위기를 보고 있는 상황”이라고 말했다. 역시 TM영업 정지조치를 받았던 보험사의 TM업체들도 급여 보전 규모와 지급 방식을 놓고 외주 TM업체와 보험사 간 실랑이가 벌어지고 있다. 윤샘이나 기자 sam@seoul.co.kr

롯데·NH농협·KB국민카드 등 카드 3사로부터 유출된 고객 정보 가운데 8270만건이 대출중개업자에 의해 이미 시중에 유통되고 있는 것으로 검찰 수사 결과 확인됐다. “2차 유출은 없다”던 정부의 장담이 거짓인 것으로 드러나면서 신뢰가 바닥에 떨어지고 고객들의 2차 피해도 우려된다. 카드 3사의 고객 정보 1억 400만건 유출 사건을 수사 중인 창원지검 특수부(부장 변철형)는 14일 고객 정보 8050만건이 추가 유출된 사실을 확인하고 대출중개업에 활용한 혐의(정보통신망법·신용정보법 위반)로 이모(36·여), 김모(34), 한모(34), 다른 김모(39)씨 등 4명을 구속 기소했다고 밝혔다. 이로써 카드 3사의 고객 정보 유출로 인한 구속자는 모두 6명으로 늘었다. 검찰은 이번에 추가 유출된 8050만건의 고객 정보가 지난 1월 유출된 1억 400만건과 중복된 정보인 것으로 보고 있다. 문제는 8270만건의 고객 정보가 대출중개업자 손에 넘어가 이미 대출 영업에 활용되는 등 2차 피해 우려를 증폭시키고 있다는 것이다. 특히 8270만건 중 470만건은 대출중개업자들이 편집한 뒤 유통한 것으로 확인돼 어느 카드사의 고객 정보인지 확인할 수 없어 불안감이 더욱 커지고 있다. 470만건을 뺀 7800만건은 농협카드 고객 2430만건, 국민카드 고객 5370만건으로, 시중에 유통돼 대출 영업에 이용된 것으로 조사됐다. 유출된 카드 고객 정보는 이름과 휴대전화 번호, 직장 전화번호, 주민등록번호, 직장 주소, 자택 주소, 결제 계좌, 신용 한도액, 카드 유효기간 등 최대 19개여서 거의 모든 금융 사기가 가능한 수준이다. 더 심각한 것은 고객 정보가 추가로 유출됐고, 그중 일부는 이미 시중에 유통됐지만 전혀 인지하지 못했다는 점이다. 검찰 수사뿐 아니라 금융 당국의 사후 처리에도 구멍이 있었다는 것을 보여 준다. 그러나 금융 당국은 2차 피해 가능성은 여전히 낮다고 보고 있다. 금융권 고위 관계자는 “그동안 고객 정보 1억 400만건의 외부 유출이 없다고 코리아크레딧뷰로(KCB) 직원이 주장했지만 일부는 외부로 흘러나간 것으로 드러났다”면서 “그러나 금융 사기 등에 이용됐다는 증거는 아직 없는 것 같다”고 말했다. 서울 김경두 기자 golders@seoul.co.kr 창원 강원식 기자 kws@seoul.co.kr

최근 카드사와 이동통신사에서 고객 개인정보가 대량으로 유출돼 사회적 물의를 일으킨 가운데 일부 취업 포털 사이트도 개인정보 관리가 허술한 것으로 나타났다. 취업 포털 사이트에 구직자가 등록한 이력서가 제3자에게 쉽게 노출되는 등 허점이 많았다. 한국소비자원은 14일 사람인, 스카우트, 인쿠르트, 잡코리아, 커리어, 파인드잡 등 지난해 이용자 수가 많았던 6개 취업포털 사이트를 대상으로 실태를 조사한 결과 일부 사이트에서 이용자들의 이력서를 관리하는 데 문제가 있었다고 밝혔다. 이력서에는 이용자의 일반 정보뿐만 아니라 휴대전화 번호, 이메일 주소, 학력, 학점, 경력 등 민감한 정보가 포함돼 있다. 하지만 일부 사이트는 구직자가 올려 놓은 이력서를 다른 제휴 사이트와 공유하거나 이력서 일부를 일반 이용자들도 볼 수 있도록 했다. 실제로 소비자원이 6개 취업 포털 사이트를 대상으로 이용자들에게 만족도 조사를 실시한 결과 개인정보 보호제도에 대한 점수가 상대적으로 낮았다. 취업 포털 사이트에 대한 이용자들의 종합 만족도는 평균 3.38점(5점 만점)으로 나타났지만, 개인정보 보호에 대한 만족도는 3.30점에 그쳤다. 바이러스, 해킹 등 방어 기능에 대한 만족도는 3.23점으로 더 낮았다. 사이트별 개인정보 보호제도에 대한 만족도는 파인드잡이 3.18점으로 최하위였고 잡코리아 3.23점, 커리어 3.26점, 스카우트 3.34점, 사람인 3.37점, 인쿠르트 3.39점 등으로 나타났다. 소비자원은 취업 포털 사이트가 개인정보 보호를 위해 기술적, 정책적 조치를 취하도록 업계에 개선을 권고하기로 했다. 장은경 소비자원 서비스조사팀장은 “취업 포털 이용자들은 비밀번호를 주기적으로 바꾸고 사이트를 이용하지 않을 때는 등록한 이력서 등 문서를 바로 삭제하거나 비공개로 설정해야 개인정보를 안전하게 관리할 수 있다”고 말했다. 이번 소비자원의 조사 결과는 공정거래위원회가 운영하는 ‘스마트컨슈머’(www.smartconsumer.go.kr) 사이트에서 확인할 수 있다. 장은석 기자 esjang@seoul.co.kr

주유소에서 고객들의 신용카드를 복제해 사용한 일당이 경찰에게 붙잡혔다. 복제 피해를 본 카드사 10곳 중 8곳은 경찰에 피해 사실을 알렸지만 KB국민·NH농협 등 지난 1월 고객 개인정보를 대량 유출해 비난을 받은 두 카드사는 일부 피해 사실을 신고하지 않은 것으로 확인됐다. 사전 보안뿐 아니라 피해 사실을 알아챈 뒤 사후 대응에도 미숙함을 드러낸 것 아니냐는 지적이 나온다. 서울경찰청 국제범죄수사대는 13일 주유소 고객의 신용카드 정보를 카드 리더기를 이용해 불법으로 수집한 김모(32)씨 등 3명을 여신전문금융업법 위반 혐의로 구속하고 윤모(34)씨 등 2명을 같은 혐의로 불구속 입건했다. 또 수집한 신용카드 정보를 팔아넘기거나 이를 이용해 신용카드를 위조해 사용한 혐의로 정모(47)씨 등 4명을 구속하고 설모(38)씨 등 2명을 불구속 입건했다. 김씨 등은 지난해 10월 한 달간 대전의 한 주유소에 공범인 유모(32)씨를 위장 취업시켜 주유를 마친 고객이 건넨 신용카드를 리더기를 이용해 복제한 혐의를 받고 있다. 이들은 빼돌린 5000여건의 신용카드 정보를 이메일 등을 통해 국내외의 공범과 공유했고 복제 신용카드 100여장을 만들었다. 이 카드로 지난 1월까지 국내뿐만 아니라 중국·태국 등에서 총 170회에 걸쳐 귀금속·아웃도어 의류 등 1억 2200여만원을 몰래 결제하려 했고 이 가운데 6200여만원을 결제하는 데 성공한 것으로 조사됐다. 일부 피의자는 대전 지역에서 조직폭력배의 일원으로 활동한 것으로 조사됐다. 이들의 범행은 고객 신고를 받은 카드사가 경찰에 신고하면서 드러났다. 경찰 관계자는 “카드사 고객들은 자신이 사용한 적이 없는 결제 정보가 휴대전화 문자서비스 등으로 통보되자 이를 카드사 측에 알렸고 카드사가 경찰에 신고해 수사에 착수했다”고 말했다. 이어 “김씨 등이 국민과 농협을 비롯해 모두 10개사(롯데·삼성·신한·외환·우리·하나·현대·BC)의 카드 정보를 모아 복제카드를 만들어 썼다”면서 “이 가운데 국민과 농협카드만 신고하지 않았다”고 말했다. 국민카드는 지난 1월 서울경찰청으로부터 자사 카드가 복제됐다는 사실을 통보받았지만 이후에도 고객들의 피해 사실을 모아 경찰에 정식 신고하지 않았고 피해 관련 서류 등도 제출하지 않았다. 또 농협카드도 지난 1월 경찰이 카드 복제 사건을 수사 중이라는 사실을 알았지만, 서울경찰청에 신고하거나 관련 자료를 제출하지 않은 것으로 알려졌다. 농협카드 측은 “농협BC카드 피해 사실은 BC카드에 통보해 경찰에 신고하도록 했다”고 해명했다. 하지만 농협 자체 카드인 ‘농협채움카드’의 복제 피해는 신고하지 않은 것으로 알려졌다. 국민카드 측은 “고객들로부터 ‘자신이 사용하지 않은 결제 내역이 있다’는 신고를 받아 수상해 알아보던 중 경찰로부터 관련 사실을 통보받은 것”이라고 말했다. 유대근 기자 dynamic@seoul.co.kr

통합 정보보호 솔루션 업체 포스트디(대표 김진천)는 국내 최대 정보기술(IT) 전문 기업인 LG엔시스와 ‘세이프 프라이버시 키퍼’(Safe Privacy Keeper, SPK) 국내 총판 계약을 체결했다고 14일 밝혔다. SPK는 문서보안(DRM) 기반의 액티브 DLP(디지털광학기술) 엔진을 이용해 개인정보뿐 아니라 경량화 문서보안, 매체 제어, 네트워크(메일포함) 모니터링, 출력물 보안까지 통합하는 정보보호 전용 솔루션이다. 김진천 포스트디 대표는 “SPK는 특정 개수 이상의 개인정보가 포함된 문서 및 이미지 파일에 대해 외부로의 전송이나 이동을 원천적으로 차단하고 내부 결재를 통해 제한적 허용만 지원한다”고 말했다. 이어 “신용카드사 개인정보유출 사건과 같은 내부자의 의도적 범죄행위까지 완벽하게 대비할 수 있다”고 설명했다. LG엔시스 관계자도 “이번 총판 계약 체결을 통해 개인정보를 포함한 통합정보보호 시장도 적극 공략해 나갈 계획”이라면서 “국내 최대 IT 인프라 기업인 LG엔시스의 역량과 보안 솔루션 전문 기업인 포스트디의 탁월한 기술력이 합쳐져 시너지 효과를 볼 것으로 기대된다”고 말했다. SPK를 개발한 포스트디는 국내에서 빠르게 성장하고 있는 통합 정보보호 솔루션 전문회사로 적극적인 연구개발(R&D) 투자를 통한 다수의 보안솔루션 특허권을 보유하고 있다. 특히 이미지 보안을 위한 근본적인 해결책 모색을 위해 이미지 인식 기술에 대한 적극적인 투자를 실행함으로써 지난해 9월 이미지 개인정보보호방법 특허를 취득하기도 했다. 이번에 LG엔시스와 총판 계약을 맺은 SPK 솔루션 또한 시장에서 가능성을 검증 받았다는 게 업계의 전반적인 평가이다. 정창수 포스트디 부사장은 “LG엔시스는 DLP, DB(데이터베이스)보안 등 보안솔루션 사업 경험이 풍부하다”며 “또한 시스템, 네트워크, 소프트웨어 솔루션, IT 서비스 등 다양한 분야에 걸친 고객군을 확보하고 있어 두 회사 간 파트너십 체결에 대한 기대가 크다”고 말했다. 이어 “이번 총판 계약 체결을 통해 개인정보를 포함한 통합정보보호 시장을 적극 공략해 나갈 계획”이라면서 “국내 최대 IT 인프라 기업인 LG엔시스의 역량과 보안솔루션 전문 기업인 포스트디의 탁월한 기술력이 합쳐져 시너지 효과를 볼 것으로 기대된다”고 덧붙였다. 포스트디는 14일까지 경기도 일산 킨텍스에서 열린 세계보안엑스포에 LG엔시스와 함께 참가해 고객들에게 양 사의 파트너십에 따른 사업 전략에 대해 알릴 계획이다. 온라인뉴스부 iseoul@seoul.co.kr

감사원이 12일부터 카드 3사 등 금융권의 대규모 고객 정보 유출과 관련해 금융감독원에 대한 감사에 착수했다. 감사원은 지난달 금융소비자원과 경제정의실천시민연합 등 시민·소비자단체가 공익감사를 청구함에 따라 최근 사전 감사를 끝냈다. 사전 감사는 본 감사에 앞서 각종 자료 등을 요청하는 것이다. 감사원은 사전 감사를 통해 확보한 자료 등을 토대로 이날부터 본 감사에 들어갔다. 감사원은 이번 감사에서 금감원의 카드사 내부통제 감독과 검사 부실 여부, 금융사 고객 정보 관리 실태 등을 집중 점검할 것으로 알려졌다. 이에 따라 주요 감사 대상은 금감원의 상호여전감독국, 여신전문검사실, 정보기술(IT)감독국, 일반은행검사국 등이 거론된다. 김경두 기자 golders@seoul.co.kr

카드 3사의 개인정보 유출 사건을 계기로 개인정보보호 전반에 대한 사회적 인식이 바뀌는 단초가 마련된 것은 다행이다. 재탕, 삼탕이라는 비판도 없지 않지만 정부는 지난 10일 금융기관의 불필요한 정보 수집을 제한하는 내용 등을 담은 ‘금융분야 개인정보보호 종합대책’을 내놓고 재발 방지에 애쓰고 있다. 서울신문은 지난 2월 19일과 20일 ‘개인정보유출사고의 불편한 진실’이라는 기획 기사를 비롯해 수차례에 걸쳐 그동안 금융사의 정보책임자들이 보안 전문성이 턱없이 부족하고 금융당국의 금융사들에 대한 관련 처벌수위가 솜방망이에 그치고 있었다고 지적했다. 한마디로 아직까지 우리 사회에서는 개인정보보호라는 문화가 형성돼 있지 않다는 얘기다. 개인정보를 활용해 수익을 내고 있는 기업에서는 일부 전산부서나 담당직원의 일인 양 소홀히 다뤄 왔고, 국민들의 경우에도 쿠폰·경품지급, 제휴사 할인, 이벤트 행사에 무심코 개인정보를 적어 내는 등 개인정보에 대한 권리의식이 부족했던 것 또한 사실이다. 한편, 카드 3사의 개인정보 유출 사건의 여파가 채 가라앉기도 전에 최근 또다시 KT에서 1200만건, 소셜커머스 업체에서 110만건, 인터넷 사이트 225개를 해킹해 1700만건의 개인정보가 유출된 사건이 추가로 밝혀졌다. 이러한 일련의 개인정보 유출 사건은 국민들의 불안감을 증폭시켰고 기업의 책임성을 대폭 강화해야 한다는 목소리가 높아지고 있다. 다행히 이러한 문제의식 속에서 이제 개인정보보호 문제는 우리 사회 전반적으로 매우 중대한 전환점을 맞고 있다. 이번 카드사 정보유출 사건을 계기로 우리 사회가 많이 달라지고 있다. 정부는 지난 2월부터 총리실에 ‘범정부 개인정보보호 태스크포스’(TF)를 구성해 모든 공공기관과 민간사업자의 개인정보 처리 실태와 취약점의 일제점검에 나섰고, 국회에서도 50여개나 되는 개인정보보호 관련 법안이 상정돼 입법논의가 활발히 진행 중이다. 며칠 전 개인정보 유출 사실이 밝혀진 한 통신업체에서도 예전과는 많이 달라진 모습을 보였다. 기업의 최고경영자가 유례없이 신속하게 대국민 사과와 개인정보보호 대책을 내놓았다. 국민 또한 많이 달라졌다. 개인정보를 유출한 기업의 상품이나 서비스 해지, 피해보상을 요구하는 등 자신의 권리를 적극적으로 주장하고 있다. 개인정보보호에 대한 기업과 국민의 인식이 현저하게 변화되고 있는 것이다. 최근의 개인정보 유출 사건은 국민들의 권리 의식과 기업들의 윤리 의식을 확대시켜 개인정보보호가 우리 사회의 문화로 정착될 수 있는 중요한 계기가 되고 있다. 이러한 보호문화의 토대 위에서만 빅데이터 시대에 걸맞게 안전한 개인정보 이용이 뿌리내릴 수 있다. 다만, 이번 계기가 헛되지 않도록 한발 더 나아가야 한다. 정부는 사회 전반의 개인정보보호 실태와 문제점을 점검하고 법·제도적 정비를 신속하게 추진해야 한다. 기업들은 개인정보보호를 위한 비용이 기업의 생존과 관련된 중요한 투자임을 인식하고 최고경영자로부터 말단직원에 이르기까지 전사적인 노력을 경주해야 한다. 아울러 국민들도 자기정보에 대한 권리 의식을 갖고 개인정보 제공 동의서들을 꼼꼼히 읽어보고 불합리한 개인정보 제공 요구에 대해서는 거부할 수 있어야 한다. 서울신문은 정부가 내놓은 정책들이 제대로 이행되고 있는지, 허점은 없는지 추적 보도해 이번 대책이 일회성에 그치지 않도록 깐깐한 감시자 역할을 해야 한다.

카드업계가 해마다 1조원 이상을 벌면서도 사회 공헌에는 여전히 인색한 것으로 나타났다. 이런 비판 등을 의식해 3년 전 200억원의 기금 조성을 약속했지만 ‘헛구호’에 그쳤다. 10일 금융권에 따르면 신한·삼성·현대·국민·롯데·하나SK·비씨 등 7개 전업카드사는 2011년 4월 해마다 200억원 이상의 기금을 조성해 사회공헌사업을 벌이겠다고 발표했다. 그러나 그해에만 기금을 갹출했을 뿐, 이후로는 추가 출연을 하지 않았다. 첫해 조성액(146억원)도 목표치에 못 미쳤다. 그나마 현재 남아 있는 기금은 54억원에 불과하다. 카드업계는 재작년에 이어 작년에도 1조원 이상의 순익을 냈다. 고객이 쓰지 않아 자동 소멸되는 카드 포인트를 통해서만 1000억원 이상의 이익을 올리고 있다. 소멸 카드 포인트는 2011년 1100억원, 2012년 1300억원, 2013년 1500억원이었다. 가맹점에 대한 높은 수수료 수입 등도 지탄의 대상이 되자 카드사들은 기프트카드 낙전 수입과 소멸 포인트 등으로 사회공헌기금을 조성하겠다고 약속해 놓고는 지키지 않고 있는 것이다. 사회공헌위원회 발족도 ‘공약’(空約)이 됐다. 기금은 여신금융협회가 관리하고 있다. 협회 측은 “사회공헌활동 전문기관이 아니다 보니 기금 활용이 쉽지 않고, 정보 유출 사태 등 카드사 사정이 좋지 않아 추가 출연도 미흡한 부분이 있다”고 털어놓았다. 금융 당국은 추가 기금 조성을 적극 유도할 방침이다. 예컨대 소멸 포인트 등으로 ‘직접회로(IC) 단말기 전환기금’을 조성, 영세 가맹점의 구형 단말기 교체를 지원하도록 하겠다는 것이다. 윤샘이나 기자 sam@seoul.co.kr

정부가 10일 발표한 ‘금융 분야 개인정보 유출 재발방지 종합대책’이 재탕, 삼탕 수준이라는 지적이 나온다. 여기다 상당수 대책들이 신용정보법 등 관련법 개정을 통해 이뤄지는 만큼 실제로 시행되려면 상당한 시일이 걸릴 뿐 아니라 국회 여야 의견이 엇갈려 실효성에도 의문이 제기된다. 다만 본인 정보의 금융사 이용 현황을 확인할 수 있고, 이를 철회할 수 있는 ‘자기 정보 결정권’을 보장해 주는 내용은 눈에 띈다. 금융당국은 지난주 예정된 대책 발표가 또 일주일 미뤄졌던 이유에 대해 해킹방지 대책과 주민등록번호 대체 방안을 담기 위한 것이라고 밝혔다. 하지만 크게 진전된 내용은 없었다. 해킹방지 대책으로는 고유식별정보의 암호화 추진과 내·외부 망분리 방안을 제시했지만, 이 내용들은 해킹 사고 때마다 나왔던 ‘단골 대책’이다. 이해선 금융위원회 중소서민금융정책관은 “부처 간 협의를 완료해 하자고 해서 미뤄진 것”이라고 해명했다. 일각에서는 지난주 KT 해킹 사고를 고려해 일정을 연기한 것이라는 해석도 있다. 금융소비자보호원 설치를 놓고 금융위 조직 개편으로까지 전선을 확대한 여야 관계를 감안하면 이번 대책이 제때 실행될 수 있을지도 미지수다. 신용정보법 개정안은 지난달 여야 합의 실패로 통과가 불발됐다. 여야 간 요구 조건을 받아들이거나, 철회하지 않는다면 다음 달 국회 통과도 쉽지 않은 형국이다. 금융위 관계자는 “다음 달 국회 통과가 안 되면 ‘모범 규준’(업계 자율 규약)을 만들어서라도 추진하겠다”고 말했다. 주민등록번호 암호화, 정보보호와 보안 책임 강화, 보관 정보의 5년 내 파기 등은 사고 때마다 등장하는 ‘약방에 감초’ 같은 대책들이다. 이를 어긴 금융사를 제재하지 않는 금융당국이 더 큰 문제라는 지적이 나온다. 그러나 지난 1월과 달리 이번 대책에 자기 정보 결정권이 추가된 대목은 주목된다. 금융사가 자신의 정보를 어떻게 이용하고, 보호하고 있는지를 확인할 수 있는 권리다. 내키지 않는다면 기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융사가 보유한 자신의 정보에 대해 파기 등을 요구할 수 있다. 특히 명의도용 피해 방지를 위해 신용 조회를 일정 기간(1일) 중지할 수도 있다. 김승주 고려대 정보보호대학원 교수는 “정보 보관 기간을 5년으로 제한하거나 주민등록번호를 내·외부망에서 암호화하는 예방책은 이미 거론됐거나 시행하고 있는 내용”이라고 말했다. 은행계 카드사 관계자는 “고객 동의하에 정보를 활용하되 보안을 강화하는 식으로 가야 하는데 이번 대책은 일단 손발을 묶고 보는 식이어서 안타깝다”고 말했다. 시중은행의 한 관계자는 “정부대책을 따라야 하겠지만, 고객 정보 보유 기간을 5년으로 제한하는 것은 은행법에 명시된 ‘10년 정보 보유 규정’과 달라 혼란스럽다”고 말했다. 김경두 기자 golders@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

카드사 개인정보 유출 사고의 충격이 채 가시기도 전에 KT 홈페이지가 초보 해커에게 어이없이 뚫렸다. 보안 사고가 잇따르자 업계는 물론 개인 사용자들도 언제 누구에게 어떻게 당할지 모르는 해킹 위협에 잔뜩 긴장하는 모양새다. PC와 모바일은 물론 삶 전반에 디지털 기기가 녹아들면서 생활 속 보안 위협도 점점 커지고 있다. 디지털 시대 정보의 창과 방패가 된 해킹의 역사를 들여다보고 올해 기승할 것으로 예상되는 해킹 방식과 예방 방법도 함께 짚어봤다. 해킹이 1960년대 미국 대학생들의 호기심에서 시작됐다는 사실을 아는 이들은 많지 않다. 정보가 돈인 시대에서 해킹은 이미 하나의 범죄 유형, 수단으로 자리 잡았기 때문이다. 해킹의 시초는 미 메사추세츠 공과대학(MIT) 동아리 모임이 야밤에 학교 건물에 몰래 들어가, 컴퓨터 시스템을 사용했던 1960년대로 올라간다. 이때는 남의 자료를 재미 삼아 훔쳐보거나 비밀번호를 바꿔 골탕먹이는 게 대부분이었다. 국내에서는 1996년 4월 카이스트 해킹 동아리가 포항공대 전자공학과 전산시스템을 공격하면서 해킹 이슈가 떴다. 이들은 전산시스템에 올라온 자료를 모두 삭제하고 아예 비밀번호를 바꿔버렸다. 조사 결과 포항공대 해킹 동아리와 라이벌이었던 카이스트 동아리가 앞서 뚫린 카이스트 시스템에 대한 범인을 포항공대 동아리로 지목, 보복 공격을 한 것으로 드러났다. 일종의 자존심 싸움이었던 셈이다. 그러나 초창기 해킹과 달리 해킹은 허가받지 않은 시스템에 침투해 정보를 훔치는 부정적인 의미가 더 커졌다. 때문에 악의 여부에 따라 단어를 구분해 사용해야 한다는 목소리도 있다. 보안의 취약점을 찾아 내기 위한 시스템 침투 행위에는 ‘해킹’이란 단어를 그대로 쓰되, 범죄 등 악의적 침투 행위에는 ‘크래킹’이라는 단어를 쓰자는 주장이다. 그렇다면 악의적인 크래킹 공격을 효과적으로 막기 위해서는 어떻게 해야 할까. 체코의 보안업체인 ‘AVG테크놀로지’는 올해 주의해야 할 보안위협으로 ‘랜섬웨어’(Ransomware)와 ‘스캠’(scams) 등을 꼽았다. 랜섬웨어는 PC 파일을 열지 못하도록 하는 악성코드로 모든 정보에 암호를 건 뒤 크래커가 해독키를 조건으로 돈을 요구하는 방식이다. 스캠은 신용사기로 이메일을 해킹해 거래처 등에 ‘계좌가 변경됐다’는 식으로 메일을 보내 돈을 보내게 하는 일종의 해킹과 피싱의 결합 버전이다. 보안 전문가들은 “이제 기업뿐만 아니라 개인 사용자 모두가 해커의 대상”이라면서 “의심 가는 이메일을 열어보지 말고 평소 백신을 최신으로 깔아놓고 데이터를 백업해 두는 습관을 가져야 한다”고 조언했다. PC뿐만 아니라 스마트폰에서도 마찬가지다. 보안업계에서는 특히 올해 안드로이드 운영체제(OS)의 보안 위협이 크게 증가할 것으로 전망했다. 안랩에 따르면 지난해 안드로이드 OS에서 발생한 악성코드는 2012년에 비해 60% 이상 증가했고 현재까지 꾸준히 증가 추세다. 지난해 접수된 보안 문제를 유형별로 들여다보면 전화나 문자 가로채기, 기타 악성코드 다운로드, 원격 조종 등을 목적으로 하는 트로이목마가 전체의 54%를 차지한다. 안랩 관계자는 10일 “모바일에서는 문자나 메일 등으로 전송된 인터넷 주소를 클릭하거나 특정 페이지에서 요구하는 애플리케이션(앱)을 설치할 때 주의해야 한다”면서 “특히 새로운 앱은 일주일 이상 사용자의 평을 지켜본 후 설치하는 것이 좋다”고 조언했다. 명희진 기자 mhj46@seoul.co.kr

“퍼스트 카드를 잡아라.” 요즘 카드업계의 변화 기류다. 소비자들이 불필요한 카드는 가급적 줄이고 꼭 필요한 카드만 소지하려는 경향이 강해지면서 ‘지갑 속 주력 카드(퍼스트 카드) 잡기’ 경쟁이 치열해지고 있다. 1인당 카드 보유 장수가 한때 5장에 육박하면서 업계가 ‘세컨드 카드’(두 번째로 많이 쓰는 카드) 경쟁에 몰두했던 것과 대조되는 현상이다. 이런 변화를 가져온 결정적 계기는 정보유출 사태다. 9일 카드업계에 따르면 올 들어 신용카드 1억장 시대가 무너졌다. 신한·국민·삼성·롯데·현대·하나SK·우리·비씨 등 7개 전업카드사의 신용카드 발급량은 지난달 말 현재 9900여만장으로 추산됐다. 신용카드 발급량이 1억장 밑으로 떨어진 것은 2008년(9624만장) 이후 처음이다. 2002년(1억 48만장) 1억장을 처음 돌파했던 신용카드 발급량은 이듬해 ‘카드 사태’로 된서리를 맞았다가 2009년(1억 699만장) 다시 1억장 시대를 열었다. 하지만 올 1월 정보유출 사태가 터지면서 기존 카드 해지가 잇따랐다. 신규 발급까지 줄면서 1~2월에만 300만장가량 감소했다는 게 카드업계의 추산이다. 카드 사용에 대한 소비자들의 불안감과 불신 등이 확산되면서 정보 유출 당사자인 국민·롯데·농협 3사는 물론 다른 카드사들도 신규 회원 유치에 타격을 입었다는 설명이다. 이에 따라 카드업계는 주력 카드에 다시 눈을 돌리고 있다. 삼성카드 관계자는 “지갑 속 신용카드가 평균 4~5장을 넘을 때는 세컨드 카드 경쟁이 유효했으나 지금은 꼭 필요한 카드 한두 장만 갖는 분위기가 확산되면서 퍼스트 카드가 다시 업계의 화두로 떠올랐다”고 전했다. 안미현 기자 hyun@seoul.co.kr

국가 기간통신사업자인 KT에서 1200만명의 개인정보를 도둑맞는 사고가 터졌다. KT의 서비스 이용 고객이 1600만명이라니 400만명만 남기고 다 털린 것이다. 그럼에도 KT는 이 사실을 1년 동안 까마득히 모르고 있었다고 한다. 최고 통신업체의 구멍 난 정보관리 체계도 그렇거니와 초보 수준의 해킹에 당했다는 사실에 허탈함으로 말문이 막힐 지경이다. 한 달여 전인 1월에 카드3사에서 1억 400만건의 개인정보가 유출된 터라 언제쯤 유사 사고가 멈출까 하는 불안감도 지울 수 없다. 사고에 이용된 수법은 아주 단순했다. 구속된 해커 김모(29)씨는 인터넷에서 쉽게 구할 수 있는 ‘파로스’라는 프로그램을 이용, 한 개의 인터넷주소(IP)로 접속한 뒤 9자리의 ‘고객 고유번호’를 무작위로 입력시켜 주민등록번호, 은행 계좌번호 등을 야금야금 빼돌렸다. 이 방법은 일반인도 가능한 초보 수준이다. 성공률이 높은 날은 20만~30만건도 가능했다고 한다. 그는 공모한 텔레마케팅 업체 대표와 함께 이들 정보를 휴대전화 판매 영업에 활용했고, 400만건은 대리점 3곳에다 팔아 115억원 이득을 챙겼다. “여러 곳을 시도했는데 KT에만 통했다”는 그의 말은 KT의 개인정보 관리의 현주소를 여실히 보여주고 있다. KT는 2012년 7월 전산망의 해킹으로 873만건의 개인정보가 유출됐을 때 세계 최고수준의 보안 인프라를 갖추겠다고 약속했다. 물론 이번 사고는 고객이 이용하는 관리센터의 홈페이지를 해킹한 것으로, 2년 전 내부적으로 관리하는 대리점 영업부문 시스템을 접속해 개인정보를 빼내간 것과 중요도는 다르다. 고객들이 이용한 요금 조회를 손쉽게 하려고 접근 편의성을 고려했을 수도 있다. 하지만 동종 업체인 SK텔레콤과 LG유플러스에서는 입력한 고객번호가 반복해 틀리면 접속을 차단하는 시스템을 갖추고 있다고 한다. 대부분의 기업도 이런 잠금기능이 작동되는 체계를 갖고 있다. 이는 KT가 잇따른 유출 사고에도 불구하고 개인정보 관리를 전사적으로 하지 않았다는 것을 뜻한다. 개인정보 유출 사고는 해당 기업의 잘못이 크지만 법적·제도적 허점에서 비롯된 측면도 있다. 현재 개인정보 유출을 막기 위한 ‘정보통신망법’ 개정안과 보이스피싱·스미싱과 관련한 ‘전기통신사업법’ 개정안이 국회에 계류돼 있다. 지난 2월 국회에서 방송법 이견으로 통과되지 못했다. 정보통신망법에는 손해배상제도의 도입과 과징금 강화 등의 내용이 담겨 있다. 또한 정부는 곧 카드사의 정보 유출과 관련해 개인정보보호 종합대책을 발표한다. 지난달 금융위원회가 발표한 금융사에 매출액의 1%를 징벌적 과징금으로 부과하는 등의 내용이 담길 것으로 보인다. 이들 내용은 ‘신용정보법’ 개정안 등에 포함된다. 개인정보 유출로 인한 피해는 고객이 고스란히 입는다. 배상금을 정부가 가져가는 구조는 잘못됐다. 징벌적 과징금 부과와는 별개로 민사소송 절차 없이 피해 고객이 직접 배상을 받을 수 있게 해야 한다. 끊임없는 정보 유출 사고로 피해고객이 참을 수 있는 한도를 넘어선 상태다. 당연히 정보 유출 당사자인 KT에는 엄정한 책임이 뒤따라야 한다. 하지만 피해 당사자가 뛰어다니며 소송에 임하는 구조는 더 이상 안 된다. 고객이 KT에 배상 책임을 물을 수 있는 법적· 제도적 장치가 속히 도입돼야 한다.

“수사 발표 당일 4시간 전까지도 KT에서는 (정보 유출 사실을) 전혀 몰랐어요.” KT 고객정보 유출 사건을 수사 중인 한 경찰은 7일 KT의 허술한 대처를 두고 혀를 내둘렀다. 그는 “우리가 6일 오전 직접 방문해 유출 사실을 전해줄 때까지 KT는 뜬 눈으로 1200만명의 고객 정보를 흘렸다”면서 “국내 최대 통신사의 보안이 이렇게 쉽게 뚫릴 수 있는지 범인의 해킹 방법을 눈으로 보고도 황당했다”고 말했다. 인천지방경찰청 광역수사대가 해당 사건을 인지한 건 지난 2월 1일. 수사는 ‘해커가 개인정보를 빼내 텔레마케팅 장사를 한다’는 첩보에서 시작됐다. 탐문 수사 끝에 경찰이 영장을 받아 해커 김모(29)씨의 사무실을 압수수색하기까지 걸린 시간은 2주. 경찰은 김씨가 빼낸 정보가 KT 고객정보라는 사실을 그 이후 알았다. 김씨는 경찰 조사에서 약 한 달간 독학해서 해킹 프로그램을 만들었다고 말했다. 해커의 능력을 떠나 KT의 보안 시스템이 얼마나 취약했는지를 단적으로 보여주는 대목이다. 김씨는 “개인정보를 해킹해 돈을 벌려 했다”면서 “(만든 프로그램으로) 여기저기 시도했는데 KT만 뚫렸다”고 진술했다. 김씨가 시연한 해킹 방법은 단순했다. 김씨는 먼저 KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌렸다. 9자리 고유번호가 맞아떨어지면 개인정보가 뜨는 KT의 고객정보 관리 시스템의 허점을 파고들었다. 보안이 철저한 곳은 본인 인증 서비스를 한번 더 이용하게끔 돼 있다. 김씨는 이때 2000년대 유행했던 해킹 툴인 ‘파로스 프로그램’을 이용했다. 파로스는 인터넷에서 누구나 공짜로 다운받을 수 있는데 PC와 서버 간에 오고 가는 정보를 중간에 가로챌 수 있다. 김씨는 고유번호가 맞아떨어졌을 때 파로스로 KT 메인 서버가 보내는 개인정보를 수집했다. 이름, 주민번호, 휴대전화번호, 이용대금, 계좌번호, 카드사, 잔여 가입비 등 암호화되지 않은 13개 항목의 정보가 그대로 잡혔다. 정보통신보안법에 따르면 서버상의 모든 개인정보는 암호화 준칙을 준수하도록 돼 있다. 서버 간 정보를 보낼 때도, 심지어 본인이 개인정보를 조회하려 해도 일부 개인정보는 ‘*’ 표시로 가리도록 권장한다. 전화번호가 ‘2000-0000’이라면 ‘20**-00**’식으로 표시돼야 한다는 소리다. 경찰이 KT 보안 담당자를 사법처리하려는 이유가 여기에 있다. 김씨가 가로챈 정보가 전혀 암호화되지 않았다는 건 KT 홈페이지의 보안이 뚫린 게 아니라 뚫려 있었다는 얘기가 된다. 해킹에 대한 기초적인 지식만 있으면 누구나 개인정보를 빼갈 수 있는 빌미를 제공한 셈이다. 이에 경찰도 다음 주초 KT 보안 관계자들을 불러 허술한 홈페이지 보안 시스템과 관리 소홀 여부를 집중 추궁할 계획이다. 한 수사관은 “만약 암호화 준칙을 제대로 지키지 않은 것이 확인된다면 보안 관리자뿐만 아니라 필요에 따라 홈페이지를 만든 업체까지 불러 조사할 수 있다”고 말했다. 이 관계자는 “해커가 하루 종일 9자리 숫자를 집어넣는데도 KT가 이를 눈치채지 못한 것이 이해가 되지 않는다”면서 “번호 입력자가 고유번호의 원래 주인이 맞는지 휴대전화 인증이나 아이핀 인증 절차를 두는 게 보안의 기본”이라고 덧붙였다. 명희진 기자 mhj46@seoul.co.kr

15년 경력의 해커 서종식(34·가명)씨는 KT의 고객 정보 유출이 알려진 6일 KT 홈페이지(www.olleh.com)에 들어가 본 뒤 “이게 대기업 홈피가 맞나 할 정도로 기가 막혔다”고 말했다. 기자와 7일 만난 그는 “온통 난리가 났길래 6일 오후 3시쯤 인터넷에서 기사를 확인하고 2시간 뒤 올레닷컴에 접속했는데도 여전히 무방비였다”고 혀를 찼다. 아이디와 패스워드를 입력(1차 확인)한 뒤 자신의 고객 번호 가운데 앞뒤 번호만 입력(2차 확인)해도 쉽게 다른 사람의 정보를 확인할 수 있었다는 것이다. 가입 요금제, 부가서비스, 미납 요금, 단말기 할부금, 단말기 구입일 등의 통신 관련 정보뿐 아니라 주민등록번호, 카드사, 카드 번호, 카드 유효기간, 스마트폰 모델, 스마트폰 일련번호, 집주소 등의 순수 개인 정보까지 무궁무진했다. 10여분간 별다른 해킹 프로그램의 도움 없이도 20여명의 정보를 취합할 수 있었다. 그는 “수법 자체는 초등학생도 할 수 있는 초보적인 수준이었다”며 “뒷문을 훤히 열어놓은 꼴”이라고 말했다. 서씨는 특히 이번 사건의 패턴이 2012년 7월 KT 고객 정보 880만건이 유출됐을 때와 해킹 방식이 동일하다고 분석했다. 그는 “아이디, 패스워드와 고객 번호만으로 개인 정보에 접근하는 방식을 이용한 수법이라는 점에서 두 건은 같다”고 말했다. 유치원생 놀이터 수준의 시스템이라는 게 서씨의 결론이다. 이와 관련해 황창규 KT 회장은 이날 서울 광화문 KT사옥에서 “KT 전 임직원을 대표해 머리 숙여 사죄드린다”고 대국민 사과를 했다. 김양진 기자 ky0295@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr

신용카드사의 고객 정보유출 사태로 카드 해지와 탈퇴가 많았던 지난 1월 카드 사용액은 14개월 만에 최고치를 기록했다. 민간 소비 회복세와 설 연휴 소비 확대 효과가 영향을 미친 것으로 분석됐다. 4일 여신금융협회에 따르면 지난 1월 신용카드와 체크카드 등 카드승인실적은 46조 9900억원으로 지난해 같은 달(43조 1300억원)보다 9.0% 늘었다. 카드 종류별로는 체크카드 승인액이 8조 6100억원으로 27.4% 증가했다. 2012년 체크카드 승인실적 통계를 내기 시작한 이후 가장 높은 증가율이다. 신용카드 승인금액은 38조 2100억원으로 지난해 같은 기간보다 5.5% 늘었다. 전체 카드 승인금액 가운데 신용카드 비중은 지난해 1월 84.0%에서 올해 같은 달 81.3%로 1년 만에 2.7% 포인트 떨어진 반면 체크카드 비중은 15.7%에서 18.3%로 2.6% 포인트 올랐다. 여신협회 관계자는 “전체 실적에서 체크카드가 차지하는 비중은 20%가 채 안 되지만 노래방, 의류점, 서점, 학원 등 생활밀접업종에서는 이보다 높은 26.9%의 비중을 기록해 생활에 밀접한 업종에서는 체크카드 사용 선호도가 높은 것으로 나타났다”고 말했다. 정보 유출로 인한 고객들의 카드 신뢰도가 떨어지는 등 악재에도 불구하고 카드승인 실적이 늘어난 것은 경기 회복세와 더불어 설 연휴를 맞아 소비가 증가했기 때문이다. 대형할인점과 슈퍼마켓 등 유통관련 업종의 카드승인금액은 지난해 1월 대비 27.4% 늘어 전체 카드 사용액 증가율을 크게 웃돌았다. 특히 농축수산물 관련 업종의 승인금액 증가율은 50.0%를 기록했다. 윤샘이나 기자 sam@seoul.co.kr

모바일카드 발급 건수가 800만장에 육박하고 있다. 시장 포화와 개인정보 유출 파문 등으로 어려움을 겪고 있는 카드업계에 새로운 돌파구가 될지 주목된다. 3일 카드업계에 따르면 모바일카드는 하나SK카드와 BC카드 등이 주도하는 유심(USIM)형과 신한·현대·KB국민·삼성·롯데·NH농협카드 등 6개사가 주도하는 앱형으로 나뉜다. 유심형은 스마트폰의 유심칩에 신용카드 정보를 저장한 뒤 근거리무선통신(NFC)을 이용해 결제 단말기에 대는 방식이다. 앱형은 스마트폰에 카드사의 모바일카드 앱을 다운받은 뒤 갖고 있는 플라스틱 카드를 등록해 결제(바코드, QR코드, NFC 가운데 선택)하는 방식이다. 유심형은 2010년 하나SK카드가 일찌감치 뛰어들어 지금까지 총 314만장 이상 발급된 것으로 추산된다. 앱 카드의 추격도 매섭다. 지난해 5월 신한카드가 본격적으로 뛰어들면서 477만장을 넘겼다. 그러자 두 가지 방식을 함께 채택하는 곳도 나오고 있다. 유심형만 발급했던 하나SK카드는 이달 중 앱형 카드를 출시할 방침이다. 업계 관계자는 “앱형에 주력하는 6개사가 연말연시에 대대적인 이벤트를 벌이면서 발급 수가 급증했다”면서 “유심형과 앱형 모두 장단점이 있는 만큼 아직은 어느 쪽이 대세가 될지 속단하기 어렵다”고 말했다. 다만 모바일카드가 대세로 자리 잡는 데는 시간이 걸릴 것으로 보인다. 가맹점이 아직은 절대적으로 부족하기 때문이다. 현재 유심형 카드의 가맹점은 4만 4000곳, 앱형은 1만곳가량이다. 스마트폰에 모바일카드를 설치해도 이용할 수 있는 가맹점이 별로 없는 셈이다. 이에 비해 플라스틱 카드 가맹점 수는 300만개에 이른다. 이 때문에 전체 카드 결제액 가운데 모바일 비중은 1% 안팎에 불과하다. 그나마 70%는 온라인 결제다. 업계는 내년까지 신용카드 가맹점 결제 단말기를 집적회로(IC) 방식으로 교체하도록 한 점에 기대를 걸고 있다. 교체되는 IC단말기에 NFC 기능을 탑재하면 유심형이나 앱형 모바일카드 모두 사용이 가능하기 때문이다. 윤샘이나 기자 sam@seoul.co.kr