카드정보 유출방지 대책 "안심이 안되네"

전액 보상하겠다지만…고객 혼란 길어질 듯

일반입력 :2014/01/20 13:15    수정: 2014/01/20 14:47

손경호 기자

고객정보가 2차로 유출될 가능성은 적지만 만약 피해가 발생한다면 전액 보상 하겠습니다.

20일 KB국민카드, 롯데카드, NH농협카드 대표들은 서울시 중구 코리아나 호텔에서 열린 카드사 고객정보유출 관련 기자회견을 열고 이같은 후속 대책을 발표했다.

이날 발표된 피해현황에 따르면 개인정보유출이 확인돼 통지되는 고객들은 현재 KB국민카드가 4천320만건, NH농협카드가 2천165만4천명, 롯데카드가 1천760만명으로 총 8천245만4천명이다. 이들에게는 21일부터 이메일, 우편 등으로 유출내역 및 추가보안대책에 대한 안내문이 통지된다.

카드사 3사 대표들은 유출된 개인정보를 악용한 스미싱, 보이스피싱, 파밍외에 부정사용에 따른 금전적인 피해가 발생할 수 있을지 여부에 대해서는 검찰이 1차 유포된 자료를 입수했기 때문에 문제가 없을 것이며 만약 피해가 발생하면 전액보상할 방침이라고 밝혔다.

최근 사고는 기존 해킹 사건과는 달리 외주IT인력을 제대로 통제하지 못해 발생했다는 점에서 카드사들은 여전히 관리 소홀 책임에서 벗어날 수 없다.

2011년 농협은행이 외주IT인력을 통해 내부 전산망이 악성코드에 감염돼 마비가 되는 일이 발생한 뒤 한국인터넷진흥원(KISA)는 그 해 12월 IT외주 인력 보안 통제 안내서를 마련했다. 세부적인 지침이 있었음에도 NH농협카드에서는 또 다시 외주인력을 통한 보안사고가 발생한 것이다.

이날 참석한 손경익 농협카드 분사장은 가이드라인을 잘 따랐냐는 질문에 기존에 IT본부에서 모든 보안 관련 연구용역개발을 진행해 왔으며, 농협카드는 물론 본사에서도 2011년도에 나온 지침을 갖고 나름대로 관리를 해왔는데 관리상 허점이 있었다고 시인했다. 손 분사장은 정보를 유출한 코리아크레딧뷰로(KCB)의 경우 지분을 투자하기도 했고, 오랫동안 협력관계에 있었기 때문에 관리가 철저하지 못했다고 생각한다고 밝혔다.

이와 관련 현재 농협측은 기존 IT본부에서 수행하고 있는 보안업무를 행장직속 '정보보호본부'로 독립신설해 보안업무를 강화한다는 방침을 밝혔다. 이어 개인정보 취급 업무처리는 고객정보 개발실에서 작업하도록 의무화, 외부 개발자는 농협이 제공하는 PC, 저장장치만을 사용하도록 관리지침을 강화했다. 이어 기술적으로는 본부단위(IT본부, 중앙본부) PC를 클라우드 환경으로 재구축해 업무용 파일은 센터 중앙서버에 저장관리해 통제한다는 방침이다.

개인정보를 취급하는 PC는 중앙에서 모니터링하는 시스템을 구축해 사무소장, 감사담당, 보안담당관이 이를 취급하는 절차 전반에 대해 통제할 수 있도록 개인정보 제공 절차를 강화할 계획이다.

이 문제와 관련 롯데카드는 외부개발자에 의한 정보유출이 불가능하도록 보안시설과 절차를 보강하겠다고 밝혔다. 이 회사는 특히 고객 카드번호, 유효기간 등이 유출된 것으로 확인됐다.

롯데카드 측은 외주인력 관리를 위해 보안전문기업에 컨설팅을 의뢰, 전문적인 진단을 실시하며, 외주인력에 대한 실시간 모니터링 및 통제가 가능한 통합솔루션을 도입한다는 계획이다.

내부 보안역량을 강화하기 위해서는 내부 보안모니터링 및 검사를 강화, 프로젝트 및 유지보수 등 외주인력에 대한 상시감독을 강화하며, 내부보안인력을 육성한다는 방침이다.

가장 많은 유출내역이 확인된 KB국민카드는 KB국민은행 정보까지 유출된 것으로 드러나면서 카드사, 은행이 가진 정보를 분리하지 않고 고객동의없이 통합운영해온 것 아니냐는 의혹이 나왔다.

이에 대해 KB국민카드 측은 해당 정보는 2011년 KB국민카드가 KB국민은행을부터 분사할 당시 합법적으로 보유하고 있던 이름, 주소 등 기본정보였다고 해명했다.

카드회사들은 외주인력 관리 지침에 대해서는 별다른 대책을 발표하지 않았다. NH농협카드의 경우 정보보호본부를 따로 신설하고, 외부 기기를 반입하지 못하도록 하겠다는 지침을 밝혔으나 나머지 카드사들은 솔루션을 도입한다는 정도이거나 아예 추가 대책이 없었다. NH농협카드가 내세운 대책도 두 번이나 IT외주인력을 포함한 내부자를 통한 대형 사고를 겪은 회사에서 내세운 대책 치고는 두루뭉술한 실정이다.

심재오 KB국민카드 사장은 작년 7월부터 클라우딩 서비스를 실시해 DB유출을 사전적으로 봉쇄했고, 망분리, DB암호화 등을 시행, USB 사용은 원천적으로 봉쇄해 할 수 있는 부분들은 다했다고 본다며 여러가지 교묘한 (정보유출) 방법이 나오겠지만 원천적으로는 봉쇄했다고 본다고 말했다.

카드사 3사를 통해 유출된 정보는 사용자 이름, 휴대전화, 이메일 등 기본 정보 외에도 카드번호, 유효기간, 결제계좌번호 등 19개 항목에 달한다.

3사 대표들은 모두 카드번호, 유효기간 등이 유출된 것만으로는 카드 위변조가 불가능하다고 밝혔다. 그러나 카드사 입장과 달리 위조가 가능할 경우 편의점과 같이 여전히 마그네틱 부분을 이용해 결제가 진행되는 곳에서 악용될 수 있다.

관련기사

실제로 지난 12일 외신에 따르면 미국 대형마트 타깃, 니만 마커스 등을 통해 유출된 고객개인정보를 악용해 가짜 신용카드, 직불카드를 만들어 주는 온라인 블랙마켓이 존재한다는 점이 확인됐다. ATM과 달리 카드 비밀번호를 모르더라도 결제가 가능한 곳에서는 이러한 수법으로 악용될 수 있기 때문이다.

아직 검찰 조사결과 유출된 카드정보가 다른 곳으로 새나갔을 가능성은 없는 편이나 또 다른 곳에서 어떻게 문제가 터질지 모르는 만큼 만반의 대비책이 필요한 시점이다.