2011년 농협 전산망 마비와 현대캐피탈 해킹 사건, 지난해 농협·신한은행 등을 상대로 한 3·20 사이버테러 등 굵직한 사건이 터질 때마다 국내 금융사들은 보안 태세 점검과 강화를 외쳐 왔다. 그러나 금융사들은 지난 몇 년 동안 곳간 문 앞 울타리를 한 겹 더 쳤을 뿐 울타리에 작은 틈만 하나 생겨도 안에 든 재물을 속수무책으로 털리는 허점을 고스란히 드러냈다. 상당수 금융사가 개인 식별 정보 암호화 등의 근본적인 보안 강화 작업을 미뤄 왔기 때문이다. 실제로 이번 사태를 빚은 KB국민카드, 롯데카드, NH농협카드를 비롯한 카드사와 은행권의 개인 정보 암호화는 밑바닥 수준인 것으로 드러났다. 금융사들은 개인정보보호법에 따라 2012년 12월까지 주민등록번호, 비밀번호 등의 고객 식별 정보가 유출, 분실되지 않도록 암호화하는 작업을 완료했어야 했지만 이를 이행한 곳은 거의 없다. 개인 정보 데이터베이스(DB)를 암호화하면 정보가 유출되더라도 식별이 불가능하다. 지난해 국정감사에서 김영주 민주당 의원이 금융감독원으로부터 받은 자료에 따르면 금융사 103곳 중 절반 이상인 60개 기관이 개인 정보를 암호화하지 않았다. 17개 시중은행 가운데 암호화를 완료한 은행은 전북은행 한 곳이었다. 정보 유출 사태를 빚은 카드 3사도 고객 식별 정보를 암호화하지 않은 상태로 보관하고 있었다. 다른 카드사들도 사정은 마찬가지다. 삼성카드와 하나SK카드, 비씨카드 등은 고객 개인 정보에 대한 암호화 작업을 해 둔 상태지만 일부 시스템에만 적용돼 있다. 카드사의 한 관계자는 “그동안은 내부적으로 예산 제약이나 타당성 검토 등의 여러 가지 이유로 고객 DB 전면 암호화를 시작하지 못했는데 최근 여러 기술보안 업체에 상담을 의뢰해 둔 상황”이라고 말했다. 금융사의 정보 보호 예산은 연초에 계획한 예산을 모두 집행하지 않아 ‘대외 과시용’이라는 지적도 나온다. 롯데카드는 2012년 정보 보호 예산액이 85억원이었으나 집행액은 47억원으로, 계획 대비 45%나 덜 투자했다. 국민카드는 예산액을 2012년 113억원에서 지난해 76억원으로 33%가량 줄였다. 2012년 실제로 집행된 정보 보호 예산은 48억원에 그쳤다. 계획한 예산의 42%만 투자한 셈이다. NH농협은행을 포함한 NH농협카드의 2012년 정보 보호 예산액은 무려 1104억원(집행액 971억원)을 기록했지만 지난해는 406억원으로 뚝 떨어졌다. 2011년 농협 전산 사고 여파로 이듬해 예산을 크게 늘렸다가 세간의 관심이 멀어지자 다시 투자금을 줄였다.4대 은행의 정보 보호 예산과 집행액도 상당한 격차를 보였다. KB국민은행은 2012년 정보 보호에 341억원을 투자할 계획이었지만 실제로 투자한 금액은 221억원이었다. 신한은행은 175억원에서 155억원, 우리은행은 186억원에서 175억원, 하나은행은 238억원에서 100억원으로 계획 대비 투자액을 줄였다. 금융당국 관계자는 “정보 보호 예산을 투자로 생각지 않고 지출로만 생각해서 이런 격차가 생긴 것으로 보인다”고 지적했다. 물리적 보안장치는 갖춰져 있지만 이를 운용하는 인력 관리가 허술한 점도 한 원인이다. 2011년 농협 전산망 마비 사태 이후 한국인터넷진흥원(KISA)은 ‘정보기술(IT) 외주 인력 보안 통제 안내서’를 만들었지만 현장에서 규제 효과를 보지 못하고 있다는 지적이 나온다. 오희국 정보보호학회장(한양대 컴퓨터공학과 교수)은 “이동식 저장장치(USB)로 정보를 빼내 가는 등 초보적인 수준의 보안 구멍이 난 것은 제도가 허술하다기보다 이를 지키지 않는 인력의 문제”라고 말했다. 이미 앞서 대규모 개인 정보 유출 사건을 겪은 일부 금융사는 직원이 고객 정보를 조회하거나 출력할 때 관리자에게 실시간으로 통보되고 일주일에 한번 불필요한 고객 개인 정보를 동시에 파기하는 등의 시스템을 마련했지만 물 샐 틈 없는 보안을 보장하기는 어려운 상황이다. 한 카드사 관계자는 “고객 관련 정보를 조회하거나 출력할 때 일일이 관리자의 결재를 받아야 하는 등의 시스템을 두고 있지만 예상치 못한 직원의 ‘일탈’까지 사전에 통제하기는 어렵다”고 말했다. 신종 금융 사기 수법에 취약한 금융권의 보안도 불안 요소다. 최근 신한은행과 농협은행에서 발생한 신종 ‘메모리 피싱’ 수법은 기존의 피싱 범죄가 고객의 계좌 비밀번호와 공인인증서, 보안카드 등의 정보를 빼돌려 돈을 빼 간 것과 달리 금융 정보 유출 없이 이체 정보를 바꿔 돈을 빼돌린 것이다. 윤샘이나 기자 sam@seoul.co.kr 김경두 기자 golders@seoul.co.kr

1595년(선조 28년) 12월 치러진 문과 과거시험에서 온양에 사는 이응길은 16세로 소년 급제했다. 합격자를 발표하던 날 시험관은 그를 불렀다. 합격의 기쁨도 잠시. 시험관이 답안지 뜻에 대해 물었지만 그는 설명하지 못했다. 시험 볼 때 초집(抄集·경서 등에서 필요한 부분을 뽑아 만든 요약집)을 옷 속에 숨겨 몰래 가져가 답안지를 작성했기 때문이다. 이에 선조는 이응길의 급제를 취소했고, 시험 감독관이었던 감찰을 파직했다. 이처럼 ‘커닝’(cunning)은 어제오늘의 얘기가 아니다. 시대와 장소를 불문하고 언제 어디서든 나타났다. 순조실록을 보면 1818년 성균관 사성 이형하가 유생들의 부정행위 수법을 8가지로 요약한 내용을 담은 상소를 순조에게 올리기도 했다. 술차작(借述借作·남의 글을 베껴 쓰거나 남이 대신 글을 지어 써줌), 수종협책(隨從狹冊·수종이 책을 들고 따라가거나 책을 들고 가 베껴 씀), 정권분답(呈券紛遝·답안지를 바꿔 제출함), 외장서입(外場書入·시험장 바깥에서 답을 미리 써 가져감), 혁제공행(赫蹄公行·시험관이 문제를 응시자에게 미리 가르쳐줌) 등이 그것이다. 이러한 폐단 때문에 과거제를 폐지하자는 의견도 있었지만, 기득권을 유지하려는 양반들의 거센 반대로 개혁은 이뤄지지 못했다. 현대사회로 접어들면서 커닝 수법은 점점 고도화되고 있다. 커닝 페이퍼를 OHP(스크린 위에 영상을 확대 투영할 수 있는 광학계 투영기기) 필름에 작성해 몰래 가져가는 건 이미 고전이 됐다. 일명 ‘삐삐’를 이용해 답안을 전송하는 것을 시작으로 휴대전화, 무전기, 초소형 카메라, 해킹까지 동원되기도 한다. 부정한 수법으로 출세하려는 인간의 욕망은 시대가 달라져도 변하지 않은 셈이다. 아울러 과거엔 꼼수를 부리려는 고만고만한 성적의 대학생이나 수험생들이 커닝을 기웃거렸다면, 최근에는 엘리트층까지 커닝이 확산되고 있다. 지난해 12월 10일 연세대 법학대학원 1학년 A(25)씨는 교수 연구실에 잠입했다. 교수가 사용하는 컴퓨터에 해킹 프로그램을 설치하고 시험지를 빼내기 위해서였다. A씨는 순찰하던 경비업체 직원에게 붙잡혔고 영구제적 처분을 받았다. 이 학생은 이전 학기에 연세대 법학대학원에서 유일하게 모든 과목에서 ‘A+’를 받은 ‘공부의 신’으로 유명했다. 비슷한 사건은 제주대 수의학과에서도 발생했다. 이 학교 수의학과 3학년 B(26)씨는 지난해 4월 담당 교수 연구실에 침입해 책상에 놓여 있던 시험지 사본을 휴대전화로 촬영했다. 3학년 본과에 진학한 후 장학금을 놓치지 않았던 비결은 커닝이었던 셈. B씨는 교수가 설치한 몰래카메라에 덜미가 잡혀 1년 유급 판정을 받았다. 커닝은 학생들 사이에서만 이뤄지는 건 아니다. 사회 각계각층에서 커닝이 이뤄지고 있다. 지난 13일에는 한국농어촌공사 승진시험 비리 혐의자가 무더기로 경찰에 적발됐다. 공기업 승진시험을 내는 한국생산성본부의 직원 엄모(57)씨가 2008년 3차례에 걸쳐 농어촌공사 소속 윤모(54)씨 등 3명에게 수천만원을 받고 승진시험(3급) 문제 등을 넘겨준 것. 문제지를 산 사람들을 포함해 연루된 사람만 32명에 이른다. 커닝이 만연한 이유는 무엇일까. 전문가들은 성공을 최우선 가치를 두는 사회 분위기를 꼽는다. 커닝으로 적발됐을 때 처벌에 대한 두려움보단 성공하고자 하는 욕구가 더 크다는 의미다. 곽금주 서울대 심리학과 교수는 “소위 말하는 ‘스펙’과 1등을 강조하는 대한민국 사회에서 경쟁이 지나치게 가열되다 보니 수단과 방법을 가리지 않는 경우가 발생하고 있다”고 분석했다. 엘리트층의 커닝이 확산된 이유에 대해 “엘리트 집단은 성공에 대한 욕구가 심해 범죄를 저질러서라도 더 완벽해지고자 커닝을 하는 것”이라면서 “화이트칼라 범죄가 일어나는 심리와도 유사하다”고 말했다. 안종배 흥사단 투명사회운동본부 윤리연구센터장도 “우리나라는 자신이 손해를 보더라도 정직하고 윤리적으로 행동하는 것에 대한 인식이 많이 떨어진 상태”라면서 “이익을 위해 범죄를 저질러도 이를 합리화하려는 경향이 많다”고 지적했다. ‘조선의 출셋길, 장원급제’의 저자인 정구선 성결대 교수는 “조선시대에는 과거시험에서 부정행위를 하다 적발되면 곤장 100대나 군인으로 차출됐지만, 과거급제가 유일한 출셋길이기 때문에 부정행위를 근절하기엔 역부족이었다”면서 “조선시대부터 이어져 온 출세 지상주의가 커닝이 만연하는 이유 중 하나로 보인다”고 말했다. 지능·첨단화되는 커닝을 막고자 시험출제 기관들도 대책 마련에 분주하다. 초소형 카메라를 도입해 조직적으로 커닝하는 사례가 빈발하자 YBM 한국토익(TOEIC)위원회는 금속탐지기를 도입했다. 또 정·오답 편차와 답안 유사도를 비교해 사후 적발 시스템도 마련했다. 이 밖에도 ▲부정행위 특별조사팀 운영 ▲고사장 내 휴대전화 수거 ▲전국 고사실 수험자의 무작위 재배치 등 다양한 ‘부정행위 방지 시스템’을 운영하고 있다. 대학수학능력시험을 주관하는 한국교육과정평가원 역시 금속탐지기를 복도 감독관에게 보급했다. 앞서 2004년 치러진 수능 시험에서 수험생 374명이 집단으로 휴대전화 문자 전송 시스템을 이용해 답안을 공유하는 사건이 발생하자 2006년부터는 휴대전화를 아예 고사장에 가지고 올 수 없게 했다. 공무원 시험을 관리하는 안전행정부도 수험생이 귀마개, 모자 착용 시 시험감독관이 이상 유무를 확인하고 있다. 전자계산기 허용과목(5급 기술 2차)은 수험생들이 직접 다른 수험생의 전자계산기를 초기화하도록 조치하고 있다. 발상의 전환으로 커닝을 방지하려는 노력도 있다. 강제적인 수법보단 수험생들의 양심에 기대는 것이다. 한동대는 1995년 개교부터 시험 무감독 원칙을 고수하고 있다. 지난달 1~4학년 학생 604명을 대상으로 설문조사를 한 결과 응답자 중 94%가 부정행위를 한 적이 없다고 밝혔다. 98%는 앞으로도 부정행위를 저지르지 않겠다고 답했다. 한동대 관계자는 “학생 스스로 양심을 지키며 무감독 시험을 하는 데 대해 자부심을 느낀다”면서 “팀 단위 프로젝트 활동 등을 통해 서로 경쟁자라는 인식이 아니라 협력자라고 생각하는 경향이 높다”고 말했다. 이성원 기자 lsw1469@seoul.co.kr 신융아 기자 yashin@seoul.co.kr

인터넷뱅킹 때 사용자가 입력한 입금 계좌번호와 이체금액을 몰래 바꾸는 ‘변종 메모리해킹’ 수법으로 수천만원을 가로챈 일당이 적발됐다. 보안카드 번호 등 금융정보를 빼내지 않고도 송금하는 돈을 가로챈 신종 사기 방식이다. 고객들은 허술한 은행 보안망 탓에 이체 절차가 모두 끝날 때까지 해킹당한 사실을 알 수 없어 속수무책으로 피해를 봤다. 경찰청 사이버테러대응센터는 23일 이러한 수법으로 피해자 81명의 통장에서 9000만원을 빼돌린 일당 7명을 검거해 이 가운데 중국 동포 김모(26)씨 등 2명을 정보통신망법 등의 위반 혐의로 구속했다. 또 문모(40)씨 등 5명은 같은 혐의로 불구속 입건했다. 중국에 거주하며 범행을 주도한 총책 최모(31)씨 등 3명은 중국 공안의 협조를 받아 쫓고 있다. 이 일당은 최씨가 개발한 악성코드를 인터넷에 유포시켜 네티즌 81명의 PC에 감염시켰다. 이 악성코드는 피해자들이 감염된 PC로 인터넷뱅킹 계좌이체를 하면 입금 계좌번호와 이체금액 등을 몰래 바꿔 최씨 등이 개설한 35개의 대포통장으로 송금되도록 설계됐다. 이체 과정 때 컴퓨터 모니터에는 정상적인 이체 정보가 표시된 까닭에 피해자들은 해킹당하고 있다는 사실을 전혀 알 수 없었다. 이체가 완전히 끝나고 뜨는 결제 안내창에는 대포통장 계좌로 입금됐음이 표시됐지만 이미 거래가 끝난 뒤인 데다 이 내용을 자세히 살펴본 피해자도 드물어 피해를 막지 못했다. 범죄 대상이 된 은행은 신한은행과 NH농협은행으로 파악됐다. 당시 해당 은행 전산 보안망은 피해자의 PC가 악성코드에 감염된 사실을 인지하지 못해 해킹을 막지 못했다. 경찰 관계자는 “이들이 최종 이체 정보마저 정상적인 거래가 이뤄진 것처럼 조작할 수 있었지만 그럴 필요성을 느끼지 못한 것 같다”고 말했다. 메모리해킹 조직이 최종 정보까지 조작했다면 피해가 더욱 커질 수 있었다는 얘기다. 특히 현재도 변종 메모리해킹을 하기 위한 악성코드가 인터넷에 퍼져 있는 것으로 알려져 네티즌의 각별한 주의가 요구된다. 유대근 기자 dynamic@seoul.co.kr

신용카드사 개인정보 유출 파문이 확산되는 가운데 미국에서도 대형유통업체 ‘타깃’의 고객 정보가 해킹돼 곳곳에서 2차 피해가 발생하고 있다. 타깃은 미국에 1800개 매장을 가진 대형마트로, 월마트에 이은 2위 업체다. 22일 뉴욕타임스, 월스트리트저널 등 미국 언론에 따르면 이번 해킹으로 약 7000만명에 달하는 고객 정보가 유출된 것으로 확인됐다. 그중 4000만명은 신용카드와 직불카드 번호, 카드 만료일, 카드 뒷면 보안번호 세 자리까지 유출됐다. 타깃 외에도 명품백화점 니먼마커스 등 소매업체 6곳의 고객 정보가 유출됐다. 동유럽권 해커 그룹으로 추정되는 해커들은 결제용 카드리더기(POS)에 악성 코드를 심은 뒤 카드 마그네틱 선에 담긴 정보를 복사해 가는 방법을 이용했다. 컨설팅업체 재블린연구소는 업체들이 감당해야 할 피해액이 최소 180억 달러(약 19조 2200억원)에 달할 것으로 전망했다. 사건이 발생하자 씨티, JP모건체이스, 뱅크오브아메리카, 웰스파고 등 대형은행들은 직불카드와 신용카드를 재발급해 줬다. 타깃은 카드도용방지서비스를 1년간 무상으로 제공하겠다고 밝혔다. 하지만 2차 피해가 속속 발생하는 등 사태가 악화되고 있다. 소송도 수십건 제기된 상태다. 미국 보안 전문 블로그 크렙온시큐리티는 유출된 신용카드 정보가 암시장에서 장당 20~100달러에 판매되고 있다고 밝혔다. 타깃 이름으로 된 스미싱 이메일까지 등장했다. 텍사스주 경찰은 최근 위조 신용카드로 수만 달러를 결제한 20대 멕시코인 2명을 검거했다. 이민영 기자 min@seoul.co.kr

국내 35개 증권사의 정보기술(IT) 시스템을 위탁관리하는 코스콤(옛 증권전산)의 보안망도 뚫린 것으로 뒤늦게 확인됐다. 개인 정보가 대거 유출된 카드업계뿐만 아니라 증권업계도 보안 및 개인정보 관리 실태에 대한 점검이 시급하다. 22일 금융투자업계에 따르면 2012년 12월 코스콤의 한 직원이 사내에서 쓰는 컴퓨터가 해킹당해 업무 자료 일부가 빠져나갔다. 유출된 자료는 다행히 코스콤의 전산실 설비와 관련된 내용이라 피해가 크지 않았다. 만약 이 자료가 고객 정보였다면 엄청난 파문이 일었을 것으로 업계 관계자들은 보고 있다. 코스콤은 2012년 9월 중순부터 사내 업무망과 인터넷망을 분리해 직원들이 두 대의 컴퓨터를 사용하도록 했다. 업무 전산망에 인터넷 접속을 못 하도록 해 해킹 공격 등에 대비하자는 취지였다. 그러나 해킹을 당한 직원이 업무 자료를 이동식저장장치(USB)에 담아 사내 업무용 컴퓨터에서 인터넷용 컴퓨터로 옮기는 과정에서 코스콤이 강조한 ‘철통 보안’은 쉽사리 무너졌다. 이 직원의 컴퓨터가 원격조종과 데이터 절취가 가능한 악성코드에 감염되면서 코스콤 업무 자료가 해킹 경유지 서버가 있는 일본으로까지 유출됐다. 코스콤 측은 “직원 1명의 인터넷용 컴퓨터 이외에 다른 컴퓨터에서는 악성코드 감염이나 피해가 일어나지 않았다”면서 “내부 업무망에는 해커가 침입하지 못해 고객 정보가 전혀 유출되지 않았다”고 설명했다. 당시 해킹 피해가 미미했지만 코스콤에서 발생한 사고라는 점에서 금융감독당국, 국정원 등도 초미의 관심을 두고 조사를 벌인 것으로 알려졌다. 코스콤은 국내 62개 증권사 중 35개사의 고객 정보를 관리하고 있다. 여기에는 계좌 정보, 거래 실적, 출납 관계, 투자 내역 등이 모두 포함된다. 한 증권사 관계자는 “시스템 안정성이 비교적 높은 코스콤의 인터넷망이 뚫렸다면 다른 곳은 말할 것도 없지 않으냐”면서 “증권업계 전반적으로 보안과 개인정보 관리 실태를 점검할 필요가 있다”고 말했다. 김진아 기자 jin@seoul.co.kr

‘최악의 비밀번호 1위’ 게시물이 화제다. 국내에 카드사 개인정보 유출이 파장을 일고 있는 가운데 ‘최악의 비밀번호 1위’가 관심을 끌고 있다. 20일 비밀번호 관리 솔루션 전문회사 플래시데이터는 ‘2013년 최악의 비밀번호 25개’를 공개해 눈길을 끌었다. 스플래시데이터에 따르면 2년 연속 1위를 지켜왔던 ‘password’를 밀어내고 ‘123456’이 1위를 차지했다. 2년 연속 1위였던 ‘password’는 2위로 물러났다. ’12345678’이 3위를 기록했고 ‘qwerty’, ‘abc123’이 뒤를 이었다. 또 ‘123456789(6위)’, ‘111111(7위)’ 등 연속 번호나 반복된 숫자를 사용한 경우 최악의 비밀번호 리스트에 올랐다. 스플래시 데이터 관계자는 “비밀번호는 다양한 숫자나 문자 조합이나 본인이 기억하기 쉬운 문장으로 설정하는 것이 좋다”고 전했다. ‘최악의 비밀번호 1위’ 결과를 접한 네티즌은 “최악의 비밀번호 1위, 진짜 최악이네” “최악의 비밀번호 1위, 해킹 금방 당할 듯” “최악의 비밀번호 1위, 내 비밀번호인데?” “최악의 비밀번호 1위, 참고해야겠다” 등 다양한 반응을 보였다. 사진 = 서울신문DB (최악의 비밀번호 1위) 연예팀 seoulen@seoul.co.kr

“지난해 말부터 스팸 문자가 평소에 비해 3~4배 늘어서 이상하다고 생각하고 있었는데 최근 뉴스를 보고서야 신용 정보가 유출된 것을 알았습니다. 신용카드번호, 신용등급, 이용한도 등 광범위한 정보가 유출돼 사업하는 사람으로서 추가 피해가 있을까 걱정됩니다.”(반모씨·44세·집단소송 참여자) “오랜 기간 카드사를 믿고 사용했는데 개인 정보 유출 피해가 생겨 배신감을 느꼈습니다. 다시는 이런 일이 없길 바라는 마음에 집단소송에 동참하게 됐습니다.”(김모씨·40세·집단소송 참여자) 신용카드사 개인 정보 유출의 피해 범위가 예상보다 광범위함에 따라 피해자들의 집단소송이 줄을 이을 조짐을 보이고 있다. 이에 대해 전문가들은 신용카드사의 귀책 사유를 입증하는 것이 쉽지 않을 것이라며 신중한 입장을 취하고 있다. 21일 네이버·다음 등 주요 포털 사이트에는 카드사의 개인 정보 유출에 대해 피해보상 소송을 준비하는 인터넷 카페가 20여개 개설돼 있다. 한 카페에서는 모집 1주일도 안 돼 소송 비용을 입금하고 집단소송에 참가한 피해자들이 1500여명에 이를 정도였다. 이런 가운데 지난 20일에는 법무법인 조율이 이번 사태와 관련해 처음으로 집단소송을 제기함에 따라 앞으로 관련 소송이 잇따를 것으로 전망된다. 하지만 과거 개인 정보 유출과 관련한 소송에서는 대부분 피해자들이 패소했다. 2008년 옥션 개인 정보 해킹사건 당시 14만명이 집단소송을 냈으나 법원은 “해킹을 막지 못한 아쉬움이 일부 있긴 하나 당시 옥션이 취하고 있던 각종 보안조치, 해킹 수법 등에 비춰 옥션에 과실이 있다고 보기 어렵다”고 판단했다. 법원은 2008년 1100만명의 피해자가 발생한 GS칼텍스 개인 정보 유출사건에서는 정보를 빼낸 자회사 직원 3명이 정보를 팔아넘기기 직전에 검거되면서 후속 피해 우려가 없다고 판단해 원고 패소 판결했다. 네이트·싸이월드 이용 고객들이 SK커뮤니케이션즈를 상대로 낸 개인 정보 유출 관련 소송도 지난해 서울서부지법에서 “원고 1인당 20만원을 배상하라”며 일부 승소 판결한 것을 제외하면 대부분 원고 패소 판결이 나오고 있다. 이에 따라 이번 집단소송도 신중히 접근해야 한다는 목소리가 커지고 있다. 법무법인 대종의 박흥수 변호사는 “과거 네이트·싸이월드 소송에서 배상 판결이 나온 것은 재판부에서 정보 유출에 대한 회사의 과실을 인정했기 때문”이라면서 “이번 소송에서도 이를 입증해야 승소할 가능성이 있다”고 말했다. 법무법인 세안의 고정욱 변호사는 “정보 유출로 인한 2차 피해를 주장하는 경우 이번 사태로 인한 피해인지 이전에 유출된 개인 정보로 인한 피해인지 입증해야 한다”면서 “법정에서 다퉈 봐야 하겠지만 이를 제대로 증명해 내는 것은 쉽지 않아 보인다”고 말했다. 한재희 기자 jh@seoul.co.kr

“카드사 홈페이지에서 수차례 설치했던 액티브X 같은 보안 프로그램들은 다 뭔가요? 이동식 저장장치(USB) 하나로 수천만 명의 정보가 새어나가는 시스템이면서 노이로제에 걸릴 만큼 귀찮게 했던 건가요?” 카드사 개인 정보 유출과 카드사들의 안일한 대처에 대한 피해자들의 분노가 점점 커지고 있다. 코리아크레딧뷰로(KCB) 직원 A씨는 2012년 5월부터 지난달까지 KB국민카드, NH농협카드, 롯데카드의 고객 정보 1억여건을 몰래 빼내 대출광고업자에게 유통했다. 카드사들은 고객 불편을 초래하면서까지 백신, 키보드 보안, 암호화 프로그램 등을 겹겹이 설치해 놓았지만, 정작 집안 단속엔 소홀했던 셈이다. 정보기술(IT) 대기업에 근무하는 허오영(28)씨는 21일 “직원에 대한 고객정보 관리 교육과 통제에 무관심하면서 해킹에 대비하는 건 모래 위에 성을 쌓는 꼴”이라고 말했다. 신용카드를 정지하거나 해지하고 국외로 나간 유학생, 주재원, 이민자 등의 불만도 크다. 일부는 개인 정보가 유출됐는지 확인할 방법조차 없기 때문이다. 유출 여부를 확인하려면 카드 정보(번호·비밀번호·유효기간 등)나 공인인증서, 휴대전화 등 3가지 중 1가지 정보가 필요하지만 없는 이들도 상당수다. 전화상담을 통해 확인할 수 있다지만 시차 탓에 시간대가 맞지 않아 카드사 직원들과 통화할 수 없는 경우도 대부분이어서 발만 동동 구를 뿐이다. 영국에서 유학 중인 양혜영(38·가명)씨는 “수년 전에 국민카드를 가지고 있다가 해지했지만, 5년까지는 개인 정보가 남아 있다고 해서 확인을 해보려고 했지만, 방법이 없었다”면서 “2차 피해가 발생하더라도 속수무책”이라고 밝혔다. 카드사들의 꼼수를 지적하는 이들도 있다. 국민·NH농협카드 홈페이지에 접속하면 ‘유출정보 확인하기’란 페이지로 넘어가는 반면 롯데카드는 ‘해당 정보 확인하기’란 모호한 용어를 사용했다. 김철민(43·가명)씨는 “유출된 정보 바로 아랫줄에 검찰이 발표했다는 문구를 달아 내 정보가 유출되지 않은 것처럼 보이게 했다”면서 “카드사의 꼼수가 아니냐”며 분통을 터뜨렸다. 이성원 기자 lsw1469@seoul.co.kr

21일에도 신용카드를 재발급 받으려는 수요는 여전했다. 국민·롯데·농협 등 카드 3사와 국민은행 등은 본사 직원을 영업점에 긴급 투입하는 등 일손을 대거 늘렸으나 밀려드는 고객을 따라잡지 못해 극심한 혼란이 이어졌다. 지금까지 카드 재발급, 해지, 정지를 신청한 고객이 180만명에 육박하는 것으로 집계됐다. 정보 유출 피해 여부를 조회한 고객 수도 1000만여명에 달했다. 불안감이 과도하게 확산되고 있다는 우려도 있다. 이제는 2차 피해 최소화와 더불어 국민 신상이 다시 털리지 않도록 하는 데 역량을 집중해야 한다는 목소리가 높다. 이상진 고려대 정보보호대학원 교수는 “국민 불안감을 진정시키기 위해서라도 이런 일이 다신 생기지 않도록 방지책을 짜야 한다”면서 “2011년 농협 전산망 해킹 사태 이후 국내 금융사들의 사이버 방화벽은 상당한 수준에 오른 만큼 이제는 사람에 의한 유출, 즉 물리적 방화벽 구축에도 신경 써야 한다”고 주장했다. 외국처럼 금융사도 보안검색대나 폐쇄회로(CC)TV 등을 설치해야 한다는 것이다. 매뉴얼이 제아무리 잘 마련돼 있어도 이동저장장치(USB) 반입을 허용한 SC은행이나 카드 3사 사례에서 보듯 ‘기본’을 지키지 않는 곳도 많은 만큼 사이버 방화벽을 재점검해야 한다. 이윤석 금융연구원 연구위원은 “정보를 훔쳐 내다 팔고 제대로 관리를 못해 도둑질당해도 최대 600만원의 과태료(신용정보보호법 기준)가 고작인 솜방망이 제재 수위를 끌어올려야 한다”고 강조했다. 영업력과 시너지 효과 등을 위해 금융지주 계열사 간, 그룹 계열사 간, 제휴사 간 너무 광범위하게 허용하고 있는 정보 공유를 엄격히 제한하고, 신용정보보호법·개인정보보호법·금융지주회사법·보험업법 등 법안별로 제각각인 정보 수집 및 관리 기준도 통일시켜야 한다. 오희국 한양대 컴퓨터공학과 교수는 “전산을 자체 관리하느냐, 외부에 맡기느냐는 본질이 아니다”며 정보기술(IT) 강국의 명성에 비해 턱없이 부족한 보안 전문가를 꾸준히 양성해야 한다고 역설했다. 조남희 금융소비자원 대표는 “우리 사회 전반의 보안 불감증을 개선해야 한다”면서 “별생각 없이 정보 활용에 동의하는 국민 개개인의 의식도 바꿔야 한다”고 말했다. 금융사 거래 때 대출이자만 보지 말고 정보 유출 전력도 꼼꼼히 따져야 한다는 것이다. 안미현 기자 hyun@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

“고객님! 거짓말이 아니고요. 저도 농협직원이지만 카드번호, 유효기간 등 제 개인 정보도 다 유출됐거든요. 그래도 카드가 복제되거나 그러는 건 아니니까 믿어주세요.“ NH농협카드를 갖고 있는 기자가 ‘14관왕(카드번호, 유효기간 등 14건의 정보유출)’에 당당히(?) 오른 사실을 확인한 뒤 농협에 전화를 걸어 “내 정보가 범죄에 악용되는 것 아니냐“고 묻자 다급한 목소리의 여직원은 이렇게 말했다. 지난 토요일(18일) 아침의 일이다. 직원은 “사과드린다”는 말을 연신 하면서도 “당사의 잘못은 아니며 신용정보 회사의 직원이 정보를 몰래 빼돌려 일어난 일”이라는 사실을 유독 강조했다. 회사에서 그렇게 교육시켜서인지는 모르겠지만, 대한민국 성인 중 카드를 가진 사람들은 거의 전부가 신상이 다 털려 ‘멘붕’에 빠진 상황에서도 책임회피에만 너무 급급한 게 아니냐는 생각이 먼저 들었다. 정작 “유출된 내 카드번호와 유효기간만으로도 물건을 구입할 수 있지 않느냐” “2차 유출을 막으려면 어떻게 해야 되고, 농협은 어떤 조치를 준비하고 있느냐”는 질문에는 “잘 모르겠다”는 답변만 돌아왔다. 지난 주말 포털사이트에는 하루 종일 농협카드 등 3개 카드사의 정보유출이 실시간 1~3위 검색어를 차지했다. 그만큼 전무후무한 뉴스로, 실제로 주변에 아는 사람들은 너 나 할 것 없이 피해자가 됐다. 얼굴만 안 알려졌을 뿐 모든 신상정보가 다 까발려졌다. “울 엄마도 모르는 내 정보가 다 털렸다”, “유출은 됐는데 (시중에) 유통은 안 됐다는 걸 어떻게 믿겠나”, “신용카드사가 다 있는데 신용만 없더라”는 다소 감정적인 트위터의 글들에 격하게 공감할 수밖에 없는 이유다. 걱정이 되는 건 이번에 1억건이 넘는 정보가 유출된 농협 등 카드 3개사는 단지 운이 없었다는 점이다. 정보유출에 취약한 것은 다른 카드사나 시중은행, 외국계은행도 다 마찬가지다. 현재로서는 언제든, 어느 금융기관에서든 똑같은 정보 유출 사건이 재발할 수 있는 구조다. 금융소비자들의 불안감은 더 커질 수밖에 없다. 정보 유출과 관련해 최고 600만원의 과태료 부과가 전부였던 금융당국의 ‘하나마나한’ 징계도 이번 사태를 부추겼다. 그래서인지 이번에는 최고경영자(CEO)에 대한 징계, 영업정지 등을 검토하고 있다고 한다. 개인정보 보호를 허투루 해온 금융기관들에 이런 사건이 또 일어나면 보안시스템 구축에 들어가는 몇 배의 비용을 물게 될 것이라는 위기감을 심어줄 필요는 있다. 하지만 단순히 사후에 징계를 강화하는 것보다는 이런 사건이 재발하지 않도록 미리 금융기관 스스로 시스템을 바꿔야 한다. 그래야 옛날처럼 해킹 때문도 아니고, 외부 용역직원이 고객정보를 휴대용저장장치(USB)에 담아 빼내온 뒤 버젓이 외부에 팔아 먹는, 이런 코미디 같은 일이 다시 일어나지 않는다. ‘개인정보유출→사장단 합동사과→금융당국, 일벌백계 및 재발방지 약속→유출사건 재발’이라는 익숙한 패턴을 매번 반복할 수는 없는 일이다. 모든 금융기관들은 이번이 마지막 기회라는 자세로, 개인정보 보호와 관련한 잘못된 관행을 뿌리째 뜯어고쳐야 한다. 만약 ‘이 또한 지나가리니’라는 얄팍한 생각으로, 일단 ‘소나기만 피하고 보자’는 식의 대응을 한다면 같은 사건이 또 발생하고 국민들의 신뢰도 영원히 잃게 될 것이다. 고객들이 등을 돌린 기업은 결국 문을 닫는다는 것이 만고불변의 진리다. sskim@seoul.co.kr

개인정보 유출 사태로 카드 재발급 요청이 줄을 잇는 가운데 최악의 비밀번호 1위가 화제다. 지난 20일 비밀번호 관리 솔루션 전문회사 ‘스플래시데이터(splashdata)’가 ‘2013년 최악의 비밀번호 25개 목록’을 공개했다. 공개된 목록엔 2년 연속 ‘최악의 비밀번호 1위’ 자리를 지켰던 ‘password’를 2위로 밀어낸 ‘123456’이 1위에 올랐다. 3위는 ‘12345678’이었으며 ‘123456789’, ‘111111’, ‘000000’등이 뒤를 이었다. 순위권에 포함된 비밀번호는 대부분 연속되거나 반복되는 숫자나 문자의 조합이라는 점이 공통점으로 나타났다. 한편 21일 카드 3사에 따르면 20일까지 카드 재발급을 신청한 고객들은 NH농협카드가 25만 8000명, KB국민카드가 12만 6000명, 롯데카드가 4만 4000명에 이른 것으로 집계됐다. 이를 합치면 20일까지 카드 재발급 및 해지, 정지를 신청한 회원이 최소 63만명을 넘는 것이다. 그러나 이날 낮 12시까지 집계된 개인정보 유출 조회 건수 695만명에 비하면 턱없이 부족한 숫자다. 이 때문에 카드 재발급 신청에 따른 혼란은 당분간 지속될 전망이다. ‘최악의 비밀번호 1위’를 접한 네티즌들은 “최악의 비밀번호 1위, 정말 최악이네”, “최악의 비밀번호 1위, 카드 재발급 받을 때 피해야겠다”, “최악의 비밀번호 1위, 어차피 카드사가 해킹되는 판에…” 등의 반응을 보였다. 온라인뉴스부 iseoul@seoul.co.kr

맨 먼저 할 일은 농협·롯데·국민 등 카드 3사 홈페이지에 접속해 자신의 정보가 유출됐는지를 확인하는 것이다. 3사 카드를 갖고 있지 않아도 확인해 보는 것이 좋다. 카드 발급 기록은 최장 5년간 보관되므로 ‘과거 기록’으로 인해 정보가 유출될 수 있기 때문이다. 정보가 유출된 것으로 확인되면 코리아크레딧뷰로(KCB)의 금융명의보호서비스를 신청하는 게 좋다. 홈페이지(www.koreacb.com)에 들어가 회원 가입 및 본인 인증을 거치면 1년간 무료로 이용할 수 있다. 다만 시스템 증설 문제로 다음 달 13일부터나 이용할 수 있다. 이 서비스에 가입해 두면 누군가가 자신 몰래 카드를 신규 발급받거나 카드론 등을 신청할 경우 곧바로 ‘알림 정보’가 온다. 아예 금융사가 자신의 신용정보를 조회하지 못하도록 ‘차단’ 기능을 설정할 수도 있다. 피해 고객이 아니어도 누구나 신청할 수 있다. 당장은 정보가 유출된 신용카드나 연계 은행의 결제 계좌 통장을 바꾸는 것도 방법이다. 카드사나 은행들은 “비밀번호는 유출되지 않았기 때문에 부당하게 쓰일 가능성은 희박하다”면서도 “고객이 원하면 즉시 재발급해 주고 있다”고 말했다. 카드나 통장 재발급이 번거로우면 비밀번호라도 바꾸는 게 좋다. 가장 주의해야 할 것은 금융 사기다. 이번 유출 사고를 빌미로 금융감독원, 카드사, 은행 등을 사칭한 사기가 기승을 부릴 수 있다. 이런 우려 때문에 카드 3사는 고객 피해를 당초 문자정보(SMS)로 알리려던 방침을 철회했다. 이메일이나 우편으로 개별 발송하기로 한 만큼 문자나 전화 ‘안내’가 오면 일절 응대하지 않는 게 상책이다. 금융당국이나 금융사 홈페이지로 위장한 파밍 수법에도 주의해야 한다. 국민(1899-2900), 롯데(3708-996 6), 농협(1644-4000) 등 카드 3사는 24시간 피해대책반을 가동하고 있다. 일각에서는 정보가 유출되지 않은 신한·삼성카드 등으로 갈아타야 하는 게 아니냐는 말도 나오지만 “이들 카드사의 보안 수준이 높아서라기보다는 운이 좋았던 측면이 더 크다”는 게 대체적인 견해다. 그보다는 근본적인 제도 정비가 시급하다는 주장이 힘을 얻고 있다. 예컨대 금융지주사 계열사 간의 정보 공유 허용이나 광범위한 정보 수집 허용 등이 문제로 꼽힌다. 현행 법에 따르면 국민카드는 국민은행 고객 정보를, 국민은행은 KB생명 고객 정보를 교차 보유할 수 있다. 금융지주 소속 계열사 한 곳이 해킹당하면 다른 계열사 고객 정보도 줄줄이 빠져나갈 위험을 근본적으로 안고 있는 것이다. 안미현 기자 hyun@seoul.co.kr

“개인정보가 유출됐다고 바로 소송을 준비하기보다는 분쟁조정을 통해 피해 보상을 받는 것이 바람직합니다.” 김종구(58) 한국개인정보보호협의회 상근 부회장 겸 개인정보보호 범국민운동본부 운영위원장은 17일 최근 발생한 신용카드사의 대규모 개인정보 유출과 관련해 “검찰 등의 수사 결과를 지켜본 다음 해당 카드사 등에 자신의 개인정보 유출여부를 확인하는 게 우선순위”라고 말했다. 김 부회장에 따르면 그 다음으로 할 일은 한국인터넷진흥원(KISA)의 개인정보침해신고센터에 손해배상 등 분쟁조정 신청서를 제출하는 것이다. 다만 KISA는 개인정보보호법 등에 해당되는 피해 상황만 처리하기 때문에 금융거래 관련 피해 및 분쟁조정 건은 금융감독원에 이첩한다. 따라서 전화 국번 없이 1332나 금감원 홈페이지(www.fss.or.kr)를 통해 분쟁조정을 신청하면 된다. 개인이 직접 변호사를 선임해 소송을 하는 것도 하나의 방법일 수는 있지만 피해 증거 확보와 변호사 선임비용 등의 부담이 생길 수 있다. 김 부회장은 “분쟁조정의 경우 접수 기관이 피해 증거 등을 입증하고 해당 금융사에 적정 수준의 보상을 권고하게 되는데 금융사가 이를 받아들이지 않을 경우도 있어 그때 소송을 준비해도 늦지 않다”고 설명했다. 김 부회장은 빈번하게 발생하는 개인정보 유출 사태를 막기 위해서는 회사 내부적으로 개인정보보호책임자(CPO)와 관련 실무진의 전문성과 책임의식을 키워야 한다고 강조했다. 김 부회장은 “개인정보 유출에는 외부의 해킹과 내부직원의 고의적 유출이라는 두 가지 상황이 있다”면서 “CPO 등의 전문성을 키우고 방화벽 강화, 백신 설치, 정보파일 암호화 등의 기술적 대비도 필요하다”고 덧붙였다. 그는 개인정보보호법도 개정해야 한다고 주장했다. 현재 개인정보보호법이 어떤 것을 해야 한다는 등의 열거식으로만 돼 있어 방대할뿐더러 두루뭉술해 정보보안 관련자들도 이해하기 어렵다는 것이다. 김 부회장은 “어떤 것을 해서는 안 된다는 식의 네거티브 방식으로 법을 개정해야 명확하게 이해할 수 있고 처벌하기도 쉽다”고 말했다. 김진아 기자 jin@seoul.co.kr

“내 개인 정보는 단돈 500원짜리….” 허술한 보안을 틈타 개인정보를 사고파는 정보 유통시장이 날로 커지고 있다. 대출중개업체나 무등록 대부업자 등은 물론 전화금융사기(보이스피싱) 조직이나 불법 도박사이트 업체 등 개인정보를 토대로 장사를 하는 곳에서 개인정보를 무차별적으로 수집하기 때문이다. 금융사와 직접 계약을 맺고 고객정보에 접근할 수 있는 대출모집인이나 금융사의 정보보안을 담당하는 외주업체 직원들이 이들의 주요 표적이다. 대출모집인 이모(41·여)씨는 “대출모집법인(에이전시)을 상대로 고객 데이터베이스(DB)를 사거나, 다른 데서 사온 DB를 파는 브로커들이 개인정보 유통시장의 중심에 있다”고 말했다. 개인정보가 거래되는 시장에서는 고객의 이름과 전화번호만 나와 있는 정보는 단순 DB, 대출이력이나 신용등급이 나와 있는 정보는 고급 DB로 분류돼 가격이 매겨진다. 업계 관계자는 “전화번호만 있으면 텔레마케팅(TM)을 할 수 있는 대리운전업체나 도박 사이트가 건당 10~50원에 단순 DB를 사가고, 보통 얼마나 최신 정보인가에 따라 100~500원의 가격이 매겨진다”면서 “그중에서도 고급 DB는 주로 대부업체의 표적이 된다”고 말했다. 업계에 따르면 대출 기록이 있거나 앞으로 대출 가능성이 높다고 여겨지는 집단의 DB는 건당 5000~2만원의 높은 가격에 거래되기도 한다. 주민등록번호와 자택, 직장 주소, 과거 대출을 받은 이력이나 신용등급 등이 포함된 정보는 ‘부르는 게 값’이다. 금융사들의 보안 장벽이 높아지면서 개인정보를 유출하는 방법도 진화하고 있다. 3~4년 전까지는 중국에 본거지를 둔 해킹 전문가들이 국내 금융사 DB를 해킹하는 수법이 주를 이뤘지만 최근에는 금융사 내외부의 직원들에게 접근해 직접 정보를 빼오는 방식이 주로 사용된다. 최근 카드사 정보 유출 역시 외주업체 직원이 이동식 저장장치(USB)에 개인정보를 담아 대출광고업자와 대출모집인에게 돈을 받고 넘긴 것으로 드러났다. 지난해 12월 한국SC은행과 한국씨티은행의 고객정보 유출 역시 대출모집인이 저지른 일이었다. 한 은행의 정보보안 관계자는 “‘열 포졸이 도둑 한명을 못 잡는다’는 말도 있듯이 아무리 보안 장치를 강화해도 작정하고 정보를 빼가는 직원들을 사전에 미리 파악해 차단하기란 쉽지 않다”고 말했다. 잊을 만하면 반복되는 금융사 고객정보 유출 사건의 근본적인 원인은 개인정보 보호에 둔감한 기업들의 무관심이라는 지적도 나온다. 금융사들의 정보 보호 불감증을 틈타 금융사 내부직원이나 외주업체 용역직원이 유출한 개인정보가 대출중개업계나 전화금융 시장에 팔리는 등 활발히 거래되고 있기 때문이다. 금융권 관계자는 “CEO부터가 정보 보안을 비용만 발생하는 것으로 봐 개인정보보호책임자(CPO)의 전문성 등을 키울 생각이 없는 데다가 직원들도 정보 보안 부서를 한직으로 여겨 가고 싶어 하지 않고 외주업체에 맡기면 된다고 여기는 게 현실”이라고 지적했다. 다른 금융당국 관계자는 “정보 보안과 관련해 각 사마다 그럴듯한 규정은 정해져 있지만 그것을 지키지 않는 게 문제”라면서 “CEO들이 이번 사태처럼 고객의 개인정보가 유출되면 회사의 신뢰도가 떨어지고 손해배상 비용이 생기는 등 사태 해결에 더 큰 비용이 든다는 점을 인식해야 한다”고 말했다. 특히 이번에 사상 최대인 1억건 이상의 정보유출이 발생했던 NH농협카드 등 3개사는 정보가 이미 새어 나갔는데도 7~14개월이 되도록 유출사실조차 모르고 있던 것으로 드러나 평소 고객 개인정보 관리에 소홀했다는 지적을 받았다. 금융감독원이 지난해 8월 만든 금융 분야 개인정보보호 가이드라인에 따르면 금융사는 개인정보 유출이 발생한 지 5일 이내에 피해 고객에게 개별적으로 사실을 알리고 홈페이지에 밝혀야 한다. 정보 유출 카드사의 한 관계자는 “이번 사건은 내부직원이 아니라 전산 위탁을 맡은 외주업체 직원이 계획적으로 벌인 일이라 사전에 유출 사실을 간파하기가 쉽지 않았다”고 말했다. 해당 카드사들은 다음 주부터 정보 유출 고객에게 피해 사실을 통보하겠다고 밝혔지만 이미 정보가 새어 나간 지 오래라 전화금융사기 등 2차 피해에 대한 우려가 커지고 있다. 다른 카드사의 한 관계자는 “대규모 정보유출 사건이 있을 때마다 기승을 부리는 게 카드사를 사칭해 ‘개인정보가 유출됐으니 주민번호를 대고 확인하라’는 전화사기”라면서 “이 같은 2차 사기에 각별히 조심할 필요가 있다”고 말했다. 이번 유출사건을 피해 간 다른 금융사들도 정보 보안에 대한 민감도가 낮은 것은 마찬가지다. 몇몇 카드사들은 소비자들의 불안심리를 틈타 슬그머니 유료 신용정보 보호서비스 판매를 재개해 비난을 받기도 했다. 신한, 삼성, 우리카드는 사고 직후 금융당국의 요청에 따라 해당 서비스 판매를 중단했다가 이틀 만에 재개했고 현대카드는 사고 이후 줄곧 유료 서비스를 판매하고 있다. 이미 한 차례 뭇매를 맞았던 보험사는 그나마 사정이 조금 나은 편이다. 카드사와 외국계 은행에 앞서 지난해 대규모 고객정보 유출 사건을 일으켰던 메리츠화재와 한화손해보험은 이후 고객 개인정보 보호 수위를 한 단계 강화했다. 메리츠화재는 각 영업지점에서 고객의 개인정보를 일주일마다 암호화하도록 했다. 암호화 작업을 거치지 않은 고객의 개인정보는 자동으로 파기된다. 메리츠화재 관계자는 “보안 강화로 예전보다 업무에 많은 제약이 있어 불편하긴 하지만 지난해 정보유출 사건 이후 고객 개인정보 관리가 워낙 중요하다는 데 직원들이 공감해 보안 강화를 받아들이고 있다”고 말했다. 한화손해보험은 사내 정보보호위원회를 개인정보 보호, IT정보 보호, 일반 보안의 3개 영역별로 나눠 각 영역에 책임자를 두고 있다. 이 외에도 현재 카드사 정보유출의 원인이었던 위탁업체를 반기마다 점검하기로 했다. 윤샘이나 기자 sam@seoul.co.kr 김진아 기자 jin@seoul.co.kr

금융당국의 솜방망이 처벌과 법원의 관대한 판결이 결과적으로 금융사의 고객 정보 관리 소홀을 가져왔다는 비판이 나온다. 고객 정보가 유출될 때마다 고작 수백만원대의 과태료와 주의 등으로 끝낸 것이 금융사의 ‘보안 해제’로 이어졌다는 지적이다. 17일 금융업계에 따르면 지난 3년간 금융사의 고객 정보가 유출된 건수는 총 1억 700만여건으로 집계됐다. 은행부터 카드와 보험, 제2금융권까지 금융권의 전 업종이 한 차례 이상 털렸다. 유출 경로도 내부 직원이 다섯 차례, 외주 직원 두 차례, 외부 해킹이 두 차례로 조사됐다. 이에 대해 강형구 금융소비자연맹 금융국장은 “최고경영자(CEO) 처벌 수위를 강화하고 영업 정지라는 강력한 칼을 빼 들어야 한다”면서 “금융기관 경영평가에서 보안과 고객 정보 보호 관리를 주요 항목으로 다뤄야 할 때”라고 지적했다. 실제로 고객 정보 유출에 대한 금융당국의 제재를 보면 한심한 수준이다. ‘다음부터 잘하라’는 주의와 함께 실무자 처벌로 끝내는 사례가 대부분이었다. 2011년 7월 하나SK카드사에서 내부 직원이 고객 정보 9만여건을 빼돌린 뒤 이를 넘겨받은 외부 직원이 “고객 100만명의 개인 정보를 입수했으니 사장을 연결해 달라”며 회사를 협박하는 일도 있었다. 그러나 금융당국의 제재는 기관 주의와 과태료 600만원, 임원 주의 등의 경징계에 그쳤다. 2011년 4월 외부 해킹으로 고객 정보 175만건이 유출된 현대캐피탈 사건도 결국 기관 경고에 ‘임원 주의적 경고’로 마무리됐다. 일각에서는 법률을 개정해 고객 정보 유출에 대한 징벌적 과징금 도입과 형사 처벌도 가능하도록 해야 한다고 주장한다. 사법부도 사정은 마찬가지다. 2010년 1월 외부 해킹으로 개인 정보가 유출된 옥션 가입자 14만여명이 낸 집단소송에서 법원은 옥션의 손을 들어 줬다. 2008년 GS칼텍스 정보 유출 사건에서도 대법원은 GS칼텍스 보너스카드 가입자 7675명이 낸 손해배상 청구 소송에서 원고 패소 판결을 한 원심을 확정했다. 김경두 기자 golders@seoul.co.kr

유엔 사무차장을 지내고 현재는 인도의 장관으로 있는 남편의 부정을 트위터로 폭로, 인도 사회를 떠들썩하게 했던 장관의 아내가 이틀만에 호텔에서 숨진 채 발견됐다. AP통신과 AFP 등에 따르면 인도 인적자원개발부 샤시 타루르(57) 장관의 아내 수난다 푸쉬카르(52)가 17일(현지시간) 뉴델리의 5성급 호텔 객실에서 숨져 있는 것을 장관이 발견했다. 타루르 장관은 보좌관을 통해 “집에 페인트칠할 것이 있어서 아내와 함께 호텔로 옮겼던 것”이라며 “집권당 회의를 마치고 객실로 돌아왔을 때 아내가 자고 있다고 생각했으나 (나중에 보니) 숨져 있었다”고 밝혔다. 푸쉬카르는 15일 200만명의 팔로어를 보유한 남편의 트위터 계정에 무단 접속해 ‘남편이 파키스탄 기자 메르 타라르와 불륜을 저지르고 있다’는 내용의 트윗을 연달아 올렸다. 타루르 장관은 즉시 해킹을 당했다고 해명했고, 아내 푸쉬카르는 ‘이코노믹 타임스’ 등 현지 언론 두 곳과의 인터뷰에서 자신이 한 일이라고 밝혔다. 푸쉬카르는 16일에는 남편과 공동 성명을 내고 “결혼 생활은 행복하다. 권한 없는 트윗이 올라온 것”이라고 사태 수습에 나섰으나 다음날 숨진 채 발견됐다. 뉴델리 경찰은 사망 원인을 확인하기 위해 부검을 시행하기로 했으며 자살이라는 현지 언론의 보도를 확인해주지 않았다. 타라르 기자는 방송 인터뷰에서 “타루르 장관을 과거 인터뷰 때문에 만난 적은 있지만 불륜을 저지르지는 않았다”고 주장했다. 타루르 장관은 부인이 숨진 뒤 가슴 통증을 호소하며 병원에 입원했다고 현지언론은 전했다. 유엔 사무차장을 지낸 타루르 장관은 반기문 사무총장이 선출된 2006년 유엔 선거 당시 후보로 추천되기도 했다. 두바이 출신 사업가인 푸쉬카르와는 2010년 결혼했다. 온라인뉴스부 iseoul@seoul.co.kr

2013년 말 영국 일간지 가디언이 올해의 인물로 선정한 에드워드 스노든은 미국국가안보국(NSA)과 중앙정보국(CIA)에서 일하던 컴퓨터 프로그래머요원이었다. 그는 2013년 6월 미국이 프리즘 감시 프로그램을 통해 전 세계적으로 무차별적인 전화도청과 이메일 해킹을 했다고 폭로했다. 미국이 앙겔라 메르켈 독일총리의 휴대전화를 10년 이상 도청했던 것도 그때 밝혀졌다. 미국의 불법적인 정보 수집과 도청의 대상에 한국 정부도 예외가 아니다. 미국 국방성은 11일 스노든이 170만건에 달하는 미국의 기밀 정보를 누출한 ‘역사상 가장 대범한 도둑’이라며 비난했다. 이쯤에서 한 번 따져보자. 스노든을 어찌 평가할까. 미국 정부 측에서는 현행법을 위반한 범법자일 것이다. 그러나 그가 없었다면 전 세계는 미국의 불법적인 도청행위를 새까맣게 모른 채 지냈을 것이다. 이런 상황을 잘 포착해 뉴욕타임스는 지난 2일 사설을 통해 “정부 당국자들이 일상적, 의도적으로 법을 어기고 있다는 사실을 폭로한 사람이 같은 정부에 의해 종신형의 위기에 처해져서는 안 된다”고 주장하기도 했다. 스노든의 행위는 미국 내부 고발의 전통을 따른 것 같기도 하다. 1972년 닉슨 대통령의 재선을 위해 워싱턴 워터게이트 빌딩의 민주당 전국위원회 본부에 침입해 도청장치를 설치하려다가 발각된 ‘워터게이트 사건’은 마크 펠트 전 FBI 부국장의 내부고발이 있었기에 가능했다. 그는 ‘딥 스로트’로 33년 침묵하다가 지난 2005년 5월에 자신을 밝혔다. 1971년에는 존 에드거 후버 FBI 국장의 불법적인 시민사찰 행위를 폭로한 ‘FBI 시민감시단’의 활동이 있었다. 대학교수 등이 FBI 펜실베이니아 지부의 사무실에서 문서를 확보해 언론에 고발한 것이다. 한국에도 민주화 시대에 주요 내부 고발자들이 등장했다. 1990년 보안사의 민간인 불법 사찰 기록을 공개했던 윤석양 이병과 같은 해 감사원과 재벌의 유착을 고발한 이문옥 감사관, 1992년 군 부재자 투표의 부정을 고발한 이지문 중위, 같은 해 총선에서 민자당의 관권선거 의혹을 제기한 한준수 연기군수, 2008년 4대강 사업 연구 용역에 대한 압력을 고발한 김이태 박사, 2009년 군 납품 비리를 고발한 김영수 소령 등이다. 공익을 위한 고발이었으나, 언론의 관심이 사라진 뒤 개인적인 불이익을 당했고 ‘배신자’라는 낙인이 찍혔다. 신상에 위협을 느끼기도 했다. 사회는 점차 투명해지고 있지만 뒤로 숨어 더 교묘하게 불법적 행위를 하는 권력과 정부, 재벌은 여전하다. 내부 고발 활성화를 위해 보호제도가 더 보완돼야 할 때다. 문소영 논설위원 symun@seoul.co.kr

1억건 이상의 카드사 고객정보 유출사건이 터지자 금융 당국은 금융회사 용역업체 직원이 함부로 고객정보를 열람하는 행위를 제한하는 등 보안을 강화하기로 했다. 카드사들은 허둥지둥 대국민 사과에 나섰다. 하지만 SC은행과 씨티은행의 고객정보 유출 사건이 터진 지 한 달도 채 안 돼 다시 사상 최대의 개인정보가 유출되면서 ‘뒷북대응’이라는 비판이 커지고 있다. 창원지검 특수부(부장 홍기채)는 카드사 고객정보를 대량 유출한 혐의로 개인신용평가회사인 코리아크레딧뷰로(KCB) 직원 박모(39)씨와 박씨에게 정보를 구입한 대출광고업자 조모(36)씨를 구속했다고 8일 밝혔다. KCB에서 카드 도난·분실, 위·변조 탐지시스템(FDS) 개발 업무를 맡아온 박씨는 2012년 5월부터 지난해 12월까지 KB·롯데·NH농협카드 등 세 카드사 전산망에 접근해 이동저장장치(USB)에 고객정보를 담아 빼돌린 뒤 1650만원을 받고 조씨에게 팔아넘긴 혐의를 받고 있다. 박씨가 빼돌린 고객정보는 KB카드 약 5300만명, 롯데카드 약 2600만명, NH카드 약 2500만명 등 모두 1억 400만명에 이른다. 고객정보에는 이름과 휴대전화번호, 직장, 주소, 신용카드 사용과 관련한 신용정보가 포함됐다. 구속된 두 사람은 검찰조사에서 고객정보를 외부로 더 유통하지 않았다고 주장하고 있으나 스미싱 등에 악용되는 등 추가 피해 가능성도 배제할 수 없다. 검찰 발표 직후 금융위원회와 금융감독원은 대출모집인이나 신용평가사 직원 등 금융회사 용역직원이 해당 업무와 관련된 정보에만 제한적으로 접근할 수 있도록 개인정보보호 후속조치를 진행하겠다고 밝혔다. 용역직원이 고객 정보를 유출하더라도 해당 금융사의 경영진에게 관리 책임을 물어 중징계하고 기관경고와 영업정지 등 행정제재를 내릴 방침이다. 금감원은 이달 안에 정보가 유출된 카드업체 3곳에 대해 현장검사를 실시할 계획이다. 또 다음 달까지 모든 금융회사의 용역업체 위탁관리 현황을 전면 점검할 예정이다. 금감원 측은 “기존 사고가 제3자 해킹, 내부직원에 의한 정보유출이었던 데 반해 이번 사건은 협력업체 직원이 의도성을 갖고 정보를 빼돌렸다”면서 “외주직원의 고객정보 접근권을 차단하고 금융사의 관리 책임도 강화하겠다”고 밝혔다. 하지만 이는 SC·씨티은행 등의 정보 유출 때도 앵무새처럼 반복했던 얘기다. 금융사들도 유출 사고가 터질 때마다 외부 PC 반입을 금지하거나 USB 접속을 차단하는 등 재발 방지책을 강화했다고 주장했지만 이번 카드사 정보 유출도 USB에 개인정보를 복사해 가는 손쉬운 방법으로 이뤄졌다. 대국민 사과도 익숙한 풍경이다. 심재오 KB국민카드 사장 등 카드 3개사 대표는 이날 서울 중구 남대문로 대한상공회의소에서 “정보 유출로 인한 추가 고객 피해가 없도록 최선을 다하겠다”고 고개를 숙였다. 창원 강원식 기자 kws@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

tvN ‘더 지니어스 - 룰 브레이커’에 출연하고 있는 이두희가 인터넷 커뮤니티 사이트 ‘일간베스트’(일베) 회원이라는 의혹에 휘말린 프로게이머 출신 방송인 홍진호를 위해 ‘일베 용어 사전’을 만들겠다고 나섰다. 이두희는 과거 서울대 재학시절 학교 전산망을 해킹해 동문인 배우 김태희의 사진을 유출시킨 것으로 유명한 해커였다. 이두희는 홍진호가 자신의 트위터에 일베 회원으로 몰리는 것이 불쾌하다는 내용의 글을 올리자 “아는 동생이랑 ‘일베 용어 자동필터’를 개발 중”이라면서 “나도 모르게 쓰는 일베 용어 때문에 괜한 오해를 받아 훅 가는 것을 방지하는 용도”라고 적었다. 이두희가 개발한 ‘일베 용어 자동 필터’에 ‘일베 용어’로 불리는 단어를 입력해 보면 의미와 함께 전체 글자 수, ‘일베’ 용어가 포함된 글자 수 등이 숫자로 표시된다. 앞서 홍진호는 “그저 황당해서 딱 정리해드린다”면서 “1. 일베 잘 몰랐는데 다시 아는 사람한테 물어봐서 대충 들음 2. 한 번도 가본 적 없음 3. 대충만 들어도 상종하기 싫음. 4. 오해라도 연관되면 불쾌함, 앞으로 표준어만 쓰겠음 5. 1g의 관심도 시간도 아까움”이라고 적었다. 홍진호는 “한국인이 한국어를 내 느낌대로 표현하는 것을 다른 세계에서의 기준까지 알아봐 가면서 사용해야 합니까”라고 반문하면서 “나만 아니고 떳떳하면 그만인 걸 이런 부분까지 해명해야 하나”라고 불쾌감을 표시했다. 이후 홍진호와 함께 ‘더 지니어스 - 룰 브레이커’에 출연하고 있는 이두희, 가수 이상민 등이 응원글을 남기기도 했다. 홍진호는 영화 ‘변호인’을 본 뒤 남긴 소감글에서 ‘찌릉찌릉’이라는 표현을 써 일베 회원이 아니냐는 의혹을 샀다. 하지만 이 단어는 일베에서 사용하지 않는 것으로 일부 커뮤니티 사이트 회원들이 일방적으로 홍진호를 몰아가고 있는 상황이다. 심지어 일부 언론에서도 확인절차 없이 ‘찌릉찌릉’은 일베에서 주로 전라도를 비하할 때 쓰이는 단어라는 식으로 옮겨 적기까지 했다. 온라인뉴스부 iseoul@seoul.co.kr

tvN ‘더 지니어스 - 룰 브레이커’에 출연하고 있는 이두희가 인터넷 커뮤니티 사이트 ‘일간베스트’(일베) 회원이라는 의혹에 휘말린 프로게이머 출신 방송인 홍진호를 위해 ‘일베 용어 사전’을 만들겠다고 나섰다. 이두희는 과거 서울대 재학시절 학교 전산망을 해킹해 동문인 배우 김태희의 사진을 유출시킨 것으로 유명한 해커였다. 이두희는 홍진호가 자신의 트위터에 일베 회원으로 몰리는 것이 불쾌하다는 내용의 글을 올리자 “아는 동생이랑 ‘일베 용어 자동필터’를 개발 중”이라면서 “나도 모르게 쓰는 일베 용어 때문에 괜한 오해를 받아 훅 가는 것을 방지하는 용도”라고 적었다. 이두희가 개발한 ‘일베 용어 자동 필터’에 ‘일베 용어’로 불리는 단어를 입력해 보면 의미와 함께 전체 글자 수, ‘일베’ 용어가 포함된 글자 수 등이 숫자로 표시된다. 앞서 홍진호는 “그저 황당해서 딱 정리해드린다”면서 “1. 일베 잘 몰랐는데 다시 아는 사람한테 물어봐서 대충 들음 2. 한 번도 가본 적 없음 3. 대충만 들어도 상종하기 싫음. 4. 오해라도 연관되면 불쾌함, 앞으로 표준어만 쓰겠음 5. 1g의 관심도 시간도 아까움”이라고 적었다. 홍진호는 “한국인이 한국어를 내 느낌대로 표현하는 것을 다른 세계에서의 기준까지 알아봐 가면서 사용해야 합니까”라고 반문하면서 “나만 아니고 떳떳하면 그만인 걸 이런 부분까지 해명해야 하나”라고 불쾌감을 표시했다. 이후 홍진호와 함께 ‘더 지니어스 - 룰 브레이커’에 출연하고 있는 이두희, 가수 이상민 등이 응원글을 남기기도 했다. 홍진호는 영화 ‘변호인’을 본 뒤 남긴 소감글에서 ‘찌릉찌릉’이라는 표현을 써 일베 회원이 아니냐는 의혹을 샀다. 하지만 이 단어는 일베에서 사용하지 않는 것으로 일부 커뮤니티 사이트 회원들이 일방적으로 홍진호를 몰아가고 있는 상황이다. 심지어 일부 언론에서도 확인절차 없이 ‘찌릉찌릉’은 일베에서 주로 전라도를 비하할 때 쓰이는 단어라는 식으로 옮겨 적기까지 했다. 온라인뉴스부 iseoul@seoul.co.kr