내 개인정보는 이미 세계 여행을 하고 있다

▲국민카드, 롯데카드, 농협카드사에서 고객정보 1억 4천만 건의 정보가 유출되는 사건이 발생했다.

2014년 갑오년 새해가 밝은지 채 8일밖에 되지 않았던 날, 대한민국을 경악케 할 속보가 들려왔다. “신용정보회사 직원이 카드 회사 3곳에서 무려 1억 건이 넘는 고객정보를 빼내 다른 업체에 팔아넘겼다 검찰에 붙잡혔습니다. 카드회사들은 고객 정보가 빠져나간 사실조차 몰랐다고 합니다.”
우리나라의 대표적 카드 회사인 국민카드, 롯데카드, 농협카드사에서 고객정보 1억 4천만 건의 정보가 유출되는 사건이 발생했다. 역대 개인정보 유출 중 건수로 보면 최대다. 속보가 나오자 관련 정보들은 곧 포털사이트의 실시간 검색어와 SNS를 가득 메웠고, 카드사 정보유출 확인사이트는 접속장애를 일으켰다. 이번에 유출된 개인정보는 이름, 주소, 휴대폰 번호, 직장명, 신용카드 사용내역까지 포함돼있다.

내 개인정보는 세계 여행 중?
이번 개인정보 유출사건은 신용평가관리기관의 직원이 저지른 범죄로 밝혀졌다. 코리아크레딧뷰로(KCB) 직원이 신용평가관리기관 특성상 각 카드사에 파견을 다니며, 고객정보에 접근해 이동식 저장장치(USB)에 담아 고객정보를 유출했다. 이 업체는 금융기관이 수집한 거래고객의 개인정보를 취합·가공해 다양한 형태의 위험관리 서비스를 제공한다는 명목 아래, 국내 19개 대형 금융회사가 공동 설립한 회사다.
“나는 세계여행을 한 번도 못 했는데, 내 개인정보는 세계 여행을 하고 있다”는 말처럼 정보유출사고는 낯선 일이 아니다. 2011년 4월에는 농협 전산망이 해킹으로 마비됐고, 현대캐피탈에선 고객정보 175만 건이 유출됐다. 7월에는 중국 해커가 네이트·싸이월드의 회원 정보 데이터베이스에서 3500만 명의 정보를 빼내 갔다. 그 이전에는 옥션 회원 1800만 명, 넥슨 회원 1300만 명, KT 가입자 570만 명의 개인 정보가 유출되기도 했다.

“고객 정보 유출” 엄벌 장담했지만…
정부는 1월 22일 ‘금융회사 고객정보 유출 재발방지대책’을 통해 정보유출 사고 발생 시 CEO를 포함한 전·현직 임직원에 대해 해임권고와 직무정지 등 중징계를 부과하겠다고 밝혔다. 이후 2월 16일 금융위원회는 3개 카드사에 대해 3개월 영업정지와 과태료 600만 원의 역대 최고 수위의 제재를 확정했다. 기간은 5월 16일까지로, 카드사가 영업정지된 것은 지난 2003년 카드 대란 이후 11년 만이다. 이들 카드 3사는 신용카드와 체크카드, 기프트카드 등의 신규 회원 모집이 전면 금지된다.
현행 개인정보보호법상 개인정보를 유출한 당사자는 5년 이하의 징역이나 5천만 원 이하의 벌금형을 받는다. 타인의 개인정보를 제 3자가 도용할 경우에는 주민등록법과 개인정보보호법에 의거해 3년 이하 징역 혹은 1천만 원 이하의 벌금형을 받는다. 그러나 이는 미국이 최고 20년 징역형에 처하는 것에 비하면 상대적으로 매우 낮은 수준이다. 금융기관 역시 처벌 수위가 낮기는 마찬가지다. 금융기관이 고객 정보 보호를 위해 제대로 조치를 하지않았을 경우 2년 이하의 징역이나 1천만 원 이하의 벌금형을 받게 된다. 하지만 고의성 입증이 쉽지 않아 처벌은 어려운 실정이다. 이경호 고려대 정보보호대학원 교수는 “뉴욕증시 상장 기업은 이번 카드사 사태와 유사한 사고를 겪었을 때, 거의 무한에 가까운 책임을 지게 된다”면서 “사베인 옥슬리법에서는 전 상장
사가 동일하게 징벌적 과징금을 물게 돼 있다”고 지적했다. 실제 미국에서는 지난해 12월 고객정보를 유출한 대형 유통업체 타깃이 벌금만 30억 달러(약 3조 2,000억 원)를 물게 될 것이라는 전망이 나오고 있다.

정부 발표에도 여전히 불안 계속돼
사상 최대의 정보유출 사태가 벌어지고 적지 않은 시간이 흘렀다. 하지만 사건이 발생한지 한 달이 지난 2월 11일, 17개 금융사의 고객정보 137만건이 추가로 유출된 것으로 드러나면서 국민들은 여전히 정보 유출의 불안에서 벗어나지 못하고 있다. 금융감독원은 “아직까지 2차 유포 여부와 피해사례는 확인되지 않았다”며 “비밀번호 등이 포함되지 않아 예금 인출 등 직접적인 금전피해로 이어질 개연성은매우 낮다”고 설명했다. 하지만 이 또한 잠재적인 불안요소다. 이미 1년 전에 유출된 정보를 최근 수사를 통해 원본을 찾았다지만, 상식적으로 원본 외 2차 유출이 있었으리라는 의혹이 제기되고 있다. 만약 이미 유출되었다면, 장기적으로 보았을 때 편집, 가공되어 어떤 피해로 돌아올지 모르는일이다. 이런 국민들의 우려는 현실화되고 있다. 금융소비자연맹은 최근 개인정보가 유출된 카드사의 회원이 전화 금융사기, 대출 강요 등의 문자메시지나 전화를 받는 피해사례가 발생하고 있다고 전했다.

책임있는 대책과 보안 필요해
하지만 이 모든 대책이 피해자인 국민의 관점이 아닌 금융사와 금융당국의 관점이라는 점에서 비판을 피하기는 어렵다. 영업정지와 과태료와 같은 단기적인 제재가 아닌, 장기적이고 지속 가능한 대책이 필요하다. 박상훈 롯데카드 사장은 “이번 정보유출로 인해 고객의 직접 피해 발생이 확인되면 100% 보상하고 이와 연계된 정신적 피해에 대해서도 적극 보상하겠다”고 밝혔다. 하지만 롯데카드 측은 개인정보 유출에 따른 단순한 정신적 피해에 대해서는 보상하기 어렵다는 견해다. 이처럼 ‘피해’에 대한 정의마저 불분명하다.
또한, 금융당국의 솜방망이 처벌과 보안 불감증이 사태를 키웠다는 지적도 있다. 앞서 보았듯 개인정보와 관련된 유출 사고는 빈번히 있었다. 2009년 이후 자회사의 업무를 검사하고 내부 통제 및 위험관리를 해야 하는 금융지주사 자회사가 정보를 유출한 경우는 모두 8건에 달했다. 하지만 이 중 제재를 받은 곳은 없었다.
이번 개인정보 유출사태는 금융당국의 보안 불감증과 금융회사의 보안체계에 구멍이 뚫린 점이 여실히 드러난 사건이다. 개인정보보호 연한이 지났음에도 파기하지 않은 점, 탈퇴한 회원의 정보를 계속 보유한 점, 금융 기관끼리 협력해 시스템을 개발하면서 보안지침을 제대로 준수하지 않은 점, 소비자에게 끼친 정신적인 피해까지 단단히 그 책임을 물어야 할 일이다.

트윗하기

정재흔의 다른기사 보기