KB카드 등 3개 카드 회사에서 1억명이 넘는 신용카드 사용자 정보가 털린 사건은 가장 기본적인 물리적 보안에서마저 빈 구멍이 컸기 때문인 것으로 분석되고 있다.
8일 창원지방검찰청에 따르면 신용평가업체 코리아크레딧뷰로(KCB)에 근무 중인 직원 A모씨㊴는 자신이 컨설팅을 수행했던 KB국민카드, 롯데카드, NH농협카드 등으로부터 고객 정보를 유출시킨 혐의로 구속됐다.
A씨로 인해 불법으로 유출된 개인정보는 KB카드 5천300만명, 롯데카드 2천600만명, NH카드 2천500만명에 달한다. 네이트 해킹 이후 최대 규모의 개인정보 유출 사고다.
이처럼 대형 사고가 일어날 수밖에 없었던 원인은 크게 두 가지로 압축된다.
우선 물리보안과 정보보안을 따로 구분했다는 점과 물리보안 마저 소홀히 다뤄왔다는 점이 그것이다.
창원지방검찰청 발표에 따르면 KCB 소속으로 카드사로부터 정보를 빼낸 A씨는 해당 카드사에 카드 도난분실, 위변조 탐지 시스템 개발 프로젝트(FDS)를 담당했던 인물이다.
문제는 카드사 내 고객정보를 마음대로 볼 수 있는 외부직원이 USB를 통해 정보를 다운로드해 갖고 나갈 정도로 물리보안을 허술하게 관리해 왔다는 것이다.
고려대 정보보호대학원 김승주 교수는 SC은행, 시티은행 고객정보 유출 사고의 경우 종이문서로 복사해가거나 USB를 통해 정보가 유출됐는데 최근 카드사 사건도 물리적인 통제를 제대로 하지 못해 이뤄진 사건이라고 말했다.
김 교수는 또 지난해 각종 보안사고로 인해 '사이버보안'에 치중하다보니 상대적으로 물리보안에 대한 관리는 시설관리과나 총무과 등에 맡겨지는 경우가 많아 보안이 허술하게 관리되고 있다고 지적했다.
실제로 삼성전자, SK하이닉스 등은 사이버보안과 물리보안을 별도로 다루지 않는다. 이들 회사 공장 등 내부 시설에 들어가려면 노트북은 물론 스마트폰, USB 등도 입출입시 모두 확인해야 한다.
그러나 이들 기업 만큼이나 보안을 중시해야 하는 카드사들이 외부업체직원들이 손쉽게 고객정보를 조회해 볼 수 있는 시스템 구축에 대한 업무를 맡겨놓고는 관리감독을 허술하게 했다.
정보보안, 물리보안을 철저하게 지키는 회사들은 외부업체직원이 자사에 와서 시스템을 손보는 등 내부정보에 접근할 수 있는 업무를 볼 때 관리감독 차원에서 별도로 직원을 배치하고 있다. 외국 회사들은 문서 파쇄기를 배치할 때 위치는 물론 어떻게 조각을 내는지 까지 매뉴얼이 있다는 것이 김 교수 설명이다.
금융권 내 보안 시스템 구축 업무를 외부 용역에만 의존할 수밖에 없는 구조도 문제로 지적된다. 자체적으로 보안프로세스를 마련하지 못하고, 외부에만 용역을 맡기면서도 관리감독을 허술하게 하다보니 사고가 터졌다는 것이다.
과거 2011년 발생한 농협 전산망 마비 사태 때도 외부용역업체에게 전적으로 자사 IT시스템을 맡기는 방식으로 운영하면서 내부자가 서버를 마비시켜 문제가 됐다. 의존도가 클수록 내부업체를 통한 정보 유출이나 시스템 마비 사고 가능성은 높아질 수밖에 없다.
문제는 또 있다. 3개 카드사와 달리 KCB로부터 똑같은 FDS 구축 업무를 맡겼던 신한카드, 삼성카드 등은 피해가 없었다. 두 카드사는 고객정보 암호화 등을 통해 개인을 식별하기 불가능했기 때문이었던 것으로 나타났다. 앞서 피해를 입은 3개 카드사는 물리보안은 물론 기본적인 내부자 유출을 방지하기 위한 보안시스템을 갖추지 못했던 것으로 추정된다.
익명을 요구한 국내 보안 전문가는 2개 은행은 피해를 입지 않은 이유는 고객정보를 암호화해서 들고나가도 쓸 수 없게 만들었거나 작업을 감시하는 CCTV 촬영이 이뤄지고 있었다거나 하는 식으로 추정해 볼 수 있다고 말했다.
이 전문가는 이어 USB를 통한 유출은 디지털 포렌식을 거쳐야만 유출 내역을 확인할 수 있다며 만약 피해 입은 3개 카드사가 USB 등 매체제어솔루션을 갖추지 못했을 가능성도 염두에 둘 필요가 있다고 말했다.
아직 해당 사건에 대한 구체적인 대응책은 나오지 않고 있다. 피해 카드사를 대표해 심재오 KB국민카드 대표는 고객정보보호를 위해 수많은 노력을 기울여 왔으나 사고가 발생한 점에 대해 고객 여러분께 사과드린다며 카드사별 자체 조사를 통해 고객 피해가 없도록 최선을 다하겠다고 말했다.
관련기사
- 금감원, 고객 정보 털린 카드 회사 현장 조사2014.01.08
- 국내 신용카드 고객정보 1억건 유출 파문2014.01.08
- 금감원, 고객정보유출한 'SC·씨티은행' 특검2014.01.08
- 어도비 해킹 피해자, 알고보니 10배 늘어2014.01.08
김상득 KCB 대표는 컨설팅 업무로 파견돼 근무하던 당사 소속 직원이 고객정보를 불법적으로 외부인에게 유출했다며 평소 철저한 정보보안을 근간으로 삼았던 회사가 직원에 의해 수탁업무를 처리하는 과정에서 정보가 유출된 것에 대해 참담한 심경이라고 말했다.
현재까지는 유출된 정보가 2차 피해를 초래할 가능성은 적은 것으로 보이나 유출 건 수를 고려했을 관리감독소홀 등 앞으로도 추가적인 문제가 지속적으로 제기될 것으로 보인다.