국민카드, 롯데카드, 농협카드의 고객의 개인정보가 유출됐다. KB카드 약 5천3백만 명, 롯데카드 약 2천6백만 명, 농협카드 약 2천5백만 명의 개인정보가 빠져나간 것이다. 1억4백만 명(중복 포함)이나 되는 국민의 개인정보가 빠져나간 것만큼이나 놀라운 사실은 이 불법 수집이 발생한 지 최대 1년이나 지난 뒤에 알려졌다는 점이다.
사건 개요
창원지검의 보도자료에 의거, 사건을 정리하면 다음과 같다.
- 용의자 ㄱ씨는 개인신용평가 전문회사 KCB의 FDS 프로젝트의 총괄관리 담당 직원.
- FDS 프로젝트란 카드도난/분실, 위변조 탐지 시스템개발 프로젝트를 뜻한다.
- KCB는 19개 은행, 신용카드사, 보험사 등 금융회사의 공동출자로 설립된 회사. 은행, 카드사들의 전산 프로그램을 개발하고 있음.
- 용의자 ㄱ씨는 2012년 5월 ~ 2013년 12월까지 각 카드회사에 파견되어 FDS 프로젝트 관련 개발 작업을 위해 회사 전산망에 접근하여 USB를 이용 고객정보를 복사
- 2012년 10월 ~ 12월 경 농협카드로부터 약 2천5백만 명의 개인정보를 불법 수집
- 2013년 6월 경 국민카드로부터 약 5천3백만 명의 개인정보를 불법 수집
- 2013년 12월 경 롯데카드로부터 약 2천6백만 명의 개인정보 불법 수집
- 이 고객정보에는 이름, 휴대전화, 직작명, 주소, 신용카드 사용 등 각종 신용정보가 포함됨
이 사건에 대해 여러 언론을 통해 보도되는 정부기관, 카드사의 이야기를 보면 의심과 불안함이 꼬리에 꼬리를 물고, 불안이 가중될 뿐이다. 하나씩 짚어보자.
첫째, 이제 추가 유출은 차단됐다?
창원지검 보도자료에 따르면 “불법수집된 원본 파일과 1차 복사 파일 등을 압수함으로써 외부 유출은 일단 차단된 것으로 추정된다”고 한다. 하지만, 이는 그저 추정일 뿐이다. 게다가 유출된 개인정보의 유통 유무는 피의자들의 진술에 의존할 뿐이다.
실제로 이 사건이 드러난 이유도 2013년 10월 경 120억 규모의 불법 대부중개업을 한 통대환 대출업자, 불법수집된 개인정보를 이용해 대량으로 문자를 발송한 광고대행업자를 단속, 적발하며 알려진 것이라고 한다.
USB 메모리에 담긴 데이터는 무한 복제가 가능하다. 그래서, 창원지검이 아니라 그 누구도 디지털 정보 유출에 대해서는 짐작을 할 수 밖에 없다. 보도자료에도 “외부 유출은 일단 차단된 것으로 추정”된다고 표시한 것도 그 때문이다. 확답은 누구도 못하는 유출 형태이다.
둘째, 계속되는 카드사들의 보안 불감증
국민카드는 개인정보 유출 확인 서비스를 처음 시작할 때 이름과 성별, 생년월일, 주민번호 마지막 한 자리만 알면 유출된 정보의 종류를 확인할 수 있게 했다. 자신이 아닌 타인의 피해 사실도 누구나 쉽게 알 수 있게 서비스를 구성한 셈이다. (지금은 주민번호를 모두 입력하게 바뀌었다.)
농협카드는 개인정보 유출조회 서비스를 이용시 이용자가 입력한 개인정보, 금융정보가 모두 암호화되지 않은 채 평문으로 전송됐다. 즉, 공유기를 쓰거나 하면 네트워크를 통해 이용자가 입력한 정보를 누군가 가로챌 수 있는 서비스를 만든 것이다. 개인정보가 유출됐는지 알아보는 서비스가 더 많은 정보의 유출을 조장했다고 볼 수 있다.
셋째, 2차 피해 걱정 없이 남 이야기하듯 사과하는 신용카드사
국민카드, 롯데카드의 사과문을 보면 검찰의 발표를 인용하여 이야기를 할 뿐 실제 자신들이 보관하고 있는 이용자의 개인정보 중 몇 건이 유출됐는지 상황이 어떤 지, 언제 알게 됐는지 등에 대해서는 설명하지 않는다.
또한 국민카드, 롯데카드, 농협카드 모두 이용자가 자신의 개인정보가 유출됐는지 확인하려면 홈페이지를 통해 혹은 전화를 걸어 직접 확인하라고 한다. 뒤집어 말하면 이용자가 먼저 확인하기 전에는 이 사실을 알려주지 않고 있는 것이다. 카드 재발급 역시 원하는 이용자에게만 해주겠다고 한다.
국민카드의 경우 카드비밀번호, 카드번호, 유효기간은 유출이 되지 않았기 때문에 부정사용이 없다고 이야기하고 있다. 그리고 앞으로 피해가 발생했을 때 연락을 주면 구제를 해주겠다고 이야기한다. 많은 이용자들은 이미 각종 스팸 문자, 스팸 전화에 시달리고 있다. 이용자의 실수를 노리는 스미싱 시도는 흔한 일이며 이로 인해 이용자들은 스트레스를 받고 또 실제로 문제가 생기기도 한다. 검찰도 이게 범죄에 이용이 되고 있어서 잡았다고 설명을 하는데 현재 피해에 대해서는 언급을 하지 않고 미래에 발생할 피해에 대해서만 이야기하고 있다.
이번에 유출된 이름, 주민번호, 휴대전화, 자택전화, 직장주소, 자택주소, 직장정보, 결제계좌, 연소득 등은 어떤 사람이 자신을 증명할 때 이용하는 정보이다. 즉, 유출된 정보를 이용하면 나 몰래 제3자가 내 행세를 할 수 있다. 즉 다른 다른 금융기관이나 각종 회원 시스템을 통해 2차, 3차 피해가 번질 수 있는 점은 아예 간과하고 있다. 실제로 국민카드와 연계된 국민은행, 농협카드와 연계된 농협은행, 롯데카드와 연결된 결제은행 등 시중 은행의 고객정보가 함께 빠져나갔다. 이는 이미 그 피해가 외부로 번졌음을 의미하지만 카드사는 나 몰라라 한다.
이런 대형 사건이 터졌지만 신용카드사의 홈페이지에는 사과문을 띄우고 개인정보 유출 여부를 할 수 있는 작은 버튼 하나 생겼을 뿐 자사 상품 광고, 계열사와 연계된 이벤트 등 여느 때와 다를 바 없는 모습을 보여주고 있다. 최소한 피해를 받은 이용자들에게 먼저 연락을 취해야 하는 것 아닐까?
넷째, KCB는 정부 및 금융기관과 끈끈한 사이?
KCB는 금융사가 제공한 고객 정보를 바탕으로 신용등급을 평가, 조회하고 컨설팅을 해주는 회사다. 국내 19개 대형 금융사가 공동으로 설립한 신용평가 및 신용정보 전문회사라는 점이 특이하다. 국가 기관과 같은 이름을 가진 금융결제원(금결원)이 사실은 은행들이 출자해서 매년 수백억 원씩 수익을 내는 사단법인임을 떠올리면 이해하기가 쉽다.
따라서 KCB는 단순히 금융회사의 단순 외주 업체로 볼 수 없다. 실력이 좋아 국내 신용정보업체 중 2위를 차지하고 있다고 보기에도 찜찜하다. 국민은행, 농협은행이 이 회사의 지분을 9%씩이나 갖고 있기 때문이다. 이들은 10.99%를 가진 한국기업평가에 이어 2대 주주다.
1997년부터 시작된 DB품질대상이라는 정부시상제도가 있다. 미래창조과학부가 주최하고 한국데이터베이스진흥원, 전자신문, 한국정보보호학회 등이 주관하는 DB품질대상은 데이터 품질관리 활동이 우수한 기관과 기업에게 수상을 한다. KCB는 작년인 2013년 11월 28일 데이터 관리 품질 부문에서 대상을 수상했다. 대상은 미래창조과학부 장관상이다. 시기적으로 KCB의 대상 수상은 자시 직원이 농협카드와 국민카드로부터 7천8백만 명의 개인정보를 불법 수집한 후가 된다. 심지어 용의자는 KCB에서 신용카드 부정사용 방지를 위해 카드도난/분실, 위변조 탐지를 위한 시스템을 위한 프로젝트의 총괄관리 담당 직원이었다는 건 더욱 놀랍다.
꼼짝할 수 없는 이용자들
사상 초유의 개인정보 유출 사건이 터졌지만 이용자들이 할 수 있는 건 거의 없다. KCB는 이용자들에게 한달에 1,500원하는 금융 명의 보호 서비스를 제공한다고 발표했다. 정보가 유출된 이용자를 대상으로 하며 그것도 신청한 이용자에게만 제공한다고 한다. 이미 한번 자신의 정보를 유출시킨 업체가 제공하는 한달에 1,500원짜리 서비스를 무료로 이용하는 것 외에는 아무 것도 할 수 있는 게 없다. 금융당국도 카드사도 지금 발생한 유출은 피해로 여기지 않기 때문이다.
이용자들이 더 화가 나는 이유 중의 하나는 아마도 한국의 속터지는 인터넷 금융 환경 때문일 것이다. 지난 10여 년 동안 한국의 인터넷 금융 환경은 특별히 나아지지 않은 채 오히려 전세계의 흐름과는 벽을 쌓고 흘러 왔다. 이용자에게 점점 더 많은 서비스를 제공해 주기는 커녕 공인인증서로 대표되는 불편하고 폐쇄된 서비스에서 단 한발자국도 나아가지 않았다. 정부와 금융권은 이용자들에게 “보안은 불편한 것”이라는 식의 말을 되풀이하며 불편을 강요했고, 이용자는 자신의 컴퓨터를 걸레로 만드는 서비스를 참아가며 썼다. 보안에 대한 책임을 이용자에게 전가했지만 정작 개인정보의 대량 유출과 같은 사건은 기업 쪽에서 “인재”로 일어나는 부실한 관리 책임으로 일어났다. 이번 사건이 공인인증서와는 전혀 상관이 없지만 많은 사람들이 “이제까지 꾹 참고 액티브엑스를 설치하며 써 왔는데, 이렇게 허무하게 정보가 유출될 거면 뭐하러 그랬나 싶다”는 류의 자조적인 이야기들이 나오는 건 일견 당연하다.
이제껏 대규모 개인정보 유출은 역시 한두 번이 아니었다. 한국 국민의 개인정보는 전세계 누구나 이용할 수 있는 오픈소스라는 말은 공공연한 사실이다. 하지만 개인정보를 유출하거나 유출당한 업체는 이제껏 제대로 처벌받지도 않고 거액의 보상금을 물어 준 적도 없다.
2013년 SC제일은행, 씨티은행 – 13만 건 유출
2012년 코웨이 – 198만 건 유출
2012년 KT – 873만 건 유출
2012년 EBS – 400만 건
2011년 SK컴즈 (네이트, 싸이월드) – 3천5백만 건 유출
2011년 현대캐피탈 – 175만 건 유출
2010년 신세계몰·아이러브스쿨·대명리조트·러시앤캐시 등 25곳 – 2천만 건 유출
2008년 GS칼텍스 – 1,125만 건 유출
2008년 하나로텔레콤(현 SK브로드밴드) – 51만 건 유출
2008년 옥션 – 1,860만 건 유출
2005년 엔씨소프트 (리니지2) – 정확한 인원 알 수 없음출처: Bloter.net – 게임부터 은행까지…개인정보 유출 흑역사
이용자 입장에서 볼 때 국내의 금융 관련 서비스는 큰 차별성이 없다. 인터넷 금융 서비스를 위해 모두 액티브엑스/플러그인을 사용할 수 밖에 없는 공인인증서를 이용해야 한다. 자신의 거래 내역을 모아볼 수 있도록 데이터를 제공하는 금융기관은 전무하다. 소액결제 사기, 스미싱이 발생했을 때 이를 탐지해 결제를 막아주는 통신사도 없다. 이용자가 사기꾼에게 속아 생전 처음 이용하는 대포통장으로 거액을 이체할 때 이를 경고해주는 은행도 없다. 전화 상담을 위해 매번 주민번호를 요구하는 건 기본이다. 온라인 서점 알라딘의 간편결제와 같은 시도는 금감원과 신용카드사의 반대에 부딪혀 좌초됐다. 서비스가 맘에 들지 않아 갈아타고 싶어도 갈 곳이 없다.
이용자들은 자신의 정보가 털렸는데도 할 수 있는 건 역시 없다. SK컴즈에서 3천5백만 건이 유출된 사건을 통해 피해를 입은 사람들이 주민번호를 변경해 달라는 요청이 행안부와 구청에 거부 당해 취소 소송을 냈지만 1심, 2심 모두 패했다. 회원의 개인정보가 EBS를 통해 400만 건이나 유출됐지만 EBS는 탈퇴한 회원정보를 가지고 있다는 이유로 1천만원의 과태료를 받았을 뿐이다. 873만 건 유출의 KT도 주민번호를 암호화하지 않았다는 이유 등으로 7억5천3백 만원의 과징금을 받았을 뿐이다. 엔씨소프트는 44명에게 10만원씩 배상하라는 판결을 받았다. 결국 이제껏 정부도 법원도 국민과 이용자 대신 기업의 편을 든 것이다.
한국에서 정부와 기업이 국민과 이용자의 개인정보를 다루는 인식과 방법은 확실히 비정상적이다. 어떻게 하면 이 비정상을 정상으로 이끌 수 있을까. 정부가 책임의식을 갖고 책임을 져야 할 관련 기업에게 확실한 징계를 내리거나 이용자들의 대규모 소송이 이기지 않는 한 이러한 문제는 형태를 달리할 뿐 계속해서 발생할 것이다. 책임질 기관, 기업이 책임지지 않아도 아무런 문제가 없는 사회라면 도대체 누가, 왜 재발 방지에 힘쓰겠는가.
입법부가 징벌적 배상 제도를 철저히 세워야 할 때가 왔다. 늦었지만 정부는 이제라도 관련 기관의 정책과 실무를 손봐야 할 것이다. 사법부가 나서서 국민과 이용자의 편을 들어줄 때가 왔다. 국민의 개인정보는 정부와 기업이 맘대로 할 수 있는 게 아니다.
유출된지 1년이 넘었다니 …충격입니다. 이건 우연히 발견된거니까 다른 종류의 피해도 아직 발견되지 않았을 뿐 남아있겠네요….
그리고 이번일을 계기로 결제서비스가 좀 더 효율적으로 발전되면 좋겠습니다..
왠지 1년전 부터 이상한 도박 사이트라던지 성인 사이트에서 계속 문자가 오더라구요!!
으…전 거의 전 항목이 털렸어요ㅠㅠ