[카드대란] 대책은 '눈가리고 아옹'

[정보유출 부실 대책 언제까지]
청와대 불호령에 우르르... 내용도 실효성도 없어 '눈가리고 아웅'
서울경제 | 임세원기자 | 입력 2014.01.29 15:53 | 수정 2014.01.30 01:31

 

금융사 전수조사때 대부업은 자체 점검 "검증 의문"
개인정보 암호화, 내부직원·전문가 쉽게 풀수있어
카드 3사 피해사실 e메일·전화 고지도 지지부진 
개인정보 유출 사태로 요란한 대책이 쏟아지지만 현장에서는 부실하다는 지적이 끊이지 않고 있다. 특히 대통령의 말 한마디에 정부 부처가 서둘러 대책을 만들다 보니 현실성이 떨어진다는 우려가 일고 있다. 정보기술(IT) 업계의 한 관계자는 29일 "기업에서 이뤄지는 복잡하고 많은 데이터의 흐름에 대해 실무적 경험이 없는 정부 관계자가 즉흥적으로 만든 지침은 별 효과가 없다"면서 "정부와 정치권이 실제 개인정보 유출과는 전혀 문제가 없는 일에 집중하고 대충 여론을 돌려 넘어가려고 하는 태도에 답답함을 느낀다"고 지적했다.

 

◇ 금융회사 전수조사 제대로 될까=금융감독원은 오는 2월3일부터 전체 금융회사의 개인정보 관리 실태를 특별점검한다. 개인정보 유출 사고를 일으킨 후 2월 초까지 검사가 진행되는 국민카드·롯데카드·농협카드를 제외한 나머지 전업카드사가 우선 대상이다. 이에 따라 삼성·신한·현대·하나SK·우리·비씨카드는 기한 없이 현장검사를 받는다. 금감원은 이들 카드사에 대한 점검을 통해 밴(Van)사, 가맹점, 제휴사 등에 대한 정보 불법유통 가능성도 파악할 계획이다.

 

이 밖에도 금감원은 은행 18개사, 보험사 55개사, 증권사 62개사, 저축은행 91개사, 새마을금고 및 농수신협 지역조합 3,050곳 등 전 금융사에 정보관리 실태를 자체 점검하도록 했다. 전체 금융회사에 대한 점검은 박근혜 대통령이 지난 27일 수석비서관회의에서 "문제가 된 3개 카드사 이외 다른 회사에서는 개인정보 유출이 없었는지 전 금융회사를 대상으로 철저히 조사하라"고 지시한 데 따라 전격 이뤄진 조치다. 문제는 이번 특별점검이 개인정보 수집과 이용 보관 등 주로 전산업무에 관한 내용이어서 자칫 부실점검이 될 수 있다는 점이다.

 

금감원은 국제공인정보시스템감사자격증 소지자 등 원내에 IT 전문가를 중심으로 30여명 규모의 특별점검반을 꾸렸다. 그러나 금감원이 직접 검사하기 어려운 대부업체나 새마을금고 등에는 체크리스트를 보내 자체 점검하도록 하면서 제대로 검증이 되겠느냐는 의문이 일고 있다. 이런 우려에 대해 금감원은 여신전문회사 등 일부 업권에는 인터넷진흥원 등 전문기관에 개인정보 유출 여부를 확인 받으라는 지침을 내렸다. 금융계의 한 관계자는 "로그인 기록 등 전산업무에 대해서는 외부 IT 전문가가 잡아내는 게 더 빠르다"면서 "금융회사는 물론 금융당국도 상경계 일색이어서 IT업무에 관심도 없고 이해도도 낮다"고 말했다. 

 

◇ 위에서 내려온 대책, 현실에 적용 안돼=금융위원회 등 관계부처가 매일같이 내놓는 대책의 일부는 현장에서 제대로 적용되지 않거나 업계의 반발을 사고 있다. 일례로 정부는 지난해 8월 발표한 개인정보 보호 가이드라인에 개인정보가 유출돼도 활용할수 없도록 암호화하게끔 했다. 그러나 이에 대해 IT 전문가는 "내부직원이나 전산 전문가라면 암호화를 걸어도 유출할 수 있다"면서 "민감한 정보를 다른 데이터베이스에 격리해 보관하거나 실제 사용하는 정보와 그렇지 않은 정보를 나눠 관리하면 불필요한 관리부담이 줄어들며 민감한 정도에 따라 등급을 매기는 것도 방법"이라고 설명했다.

 

또한 3개 카드사의 사고가 알려진 직후 금융당국은 해당 카드사가 개별고객에게 피해사실을 e메일과 전화로 알릴 것이라고 밝혔다. 그러나 개별통지가 시작된 24일 이후 국민카드는 한 건의 서면통지도 하지 않다가 29일에서야 10만명에게 알렸다. 그 밖에 개인정보 유출을 악용해 전화와 인터넷을 통한 금융사기를 벌이는 보이스피싱이나 스미싱에 대한 대처도 미흡하다. 현재까지는 불법대출 광고 전화번호에 대해서만 금감원과 경찰청의 확인을 거쳐 일주일 이내 정지할 수 있다. 그 밖에 보이스피싱의 경우 인터넷진흥원을 통해 해당 홈페이지만 접속을 차단할 수 있다.

 

금융사기를 안전행정부와 금융위·방송통신위원회가 제각각 다루다 보니 피해자 입장에서 한 곳에서 상담과 신고 및 차단을 하기가 어려운 것이다. 기존 원칙을 지키지 않은 원인부터 따져야 한다는 목소리도 나온다. 롯데카드는 외부저장매체인 USB 사용을 금지하지 않았고 국민카드는 외부 컴퓨터를 사용한 뒤에는 해당 내용을 지우는 포맷 과정을 제대로 점검하지 않는 등 기존 대책을 준수하지 않았다. 금융회사의 한 관계자는 "정부가 엄청나게 복잡해진 개인정보 관리를 모두 주도하지 말고 개인정보 보호 관리 부실에 대한 처벌을 강화하고 기업 간 개인정보 유통에 대한 큰 틀의 지침만 정하면 나머지 실행은 기업이 책임지고 해야 오히려 실효성이 높아질 것"이라고 강조했다. [임세원기자 why@sed.co.kr]

 

'카드 정보유출사태' 장본인 KCB는 왜 무사할까?
한겨레 | 입력 2014.02.02 20:00 | 수정 2014.02.02 20:10

 

[한겨레]아하 그렇구나금융사 19개사가 주주… 손배 소송 '제 살 깎기'
KCB 부도 나면 신용조회 비용 올라 손해 부담

설 연휴 신용카드 재발급 후폭풍에 카드사 직원들은 설도 쇠지 못했답니다. 그런데 정작 정보 유출 당사자인 '신용정보업체'인 코리아크레딧뷰로(KCB·케이시비)는 잠잠합니다. 내로라하는 카드사들이 이 지경에 처하고도, 케이시비에 소송을 냈다는 말조차 들리지 않습니다. 오히려 이번 사태로 케이시비는 무료로 제공하기로 한 '신용정보 보호 서비스' 가입자가 늘어나 영업 호재를 맞았다는 얘기도 들립니다. 전국민에게 '병주고 약 주는' 신용정보회사, 대체 어떤 곳이길래 대형 카드사들을 이렇게 '물먹이고도' 멀쩡할까요?

 

신용정보회사는 흔히 '신용평가사'라고 부릅니다. 신용조회, 채권추심 등 신용 정보를 활용한 종합 사업을 하지만, 대출 금리를 연동할 '신용등급'을 매기는 일(신용평가)이 가장 대표적이라 그렇습니다. 평가 대상에 따라 기업/개인으로 나뉘는데, 개인 신용평가의 경우 나이스평가정보(NICE)와 케이시비가 국내 시장을 양분하고 있습니다. 이전에는 나이스가 개인신용정보 시장을 사실상 독점해왔는데, 2005년 은행·카드 19개사가 500억원을 공동출자해 케이시비를 출범시켰습니다. 은행과 카드사는 대출 정보 등 신용 정보의 공급자이면서 사용자인데, 신용등급을 조회할 때마다 돈은 다른 회사가 벌자 직접 신용정보업체를 차려 '경쟁 구도'를 만들었습니다.

 

그래서 케이시비는 후발주자이면서도 금융사들의 지원 아래 시장에 안착했고, 기업·개인신용평가 둘 다 다루는 나이스와 달리 개인신용정보만 취급하면서도 이윤을 낼 수 있었습니다. 이번에 정보 유출의 도화선이 됐던 '부정사용시스템' 구축 사업도, 국민·롯데·농협·신한·삼성 등 카드사 사업을 도맡다시피 했습니다. 은행·카드사가 신용정보회사의 주주이면, 집적할수록 가치가 높아지는 신용정보들로 '신규 사업'을 벌여도 직접적 책임은 피한 채 배당금을 챙길 수 있습니다. 널리 알려져 있지 않지만, 신용정보회사는 금융사 아닌 기업의 정보까지 '결합'해 채권추심회사나 마케팅회사 등에 팝니다. 예를 들어 카드사에 등록한 주소를 부동산 정보 등과 결합시켜 자가 보유인지, 직장 주소를 기업 정보와 결합하여 같은 회사 동료들의 평균 신용카드 사용액, 대출액이 얼마인지까지도 판매합니다.

 

카드사와 신용정보업체의 '상부상조'는 이뿐만이 아닙니다. 나이스·케이시비 등 신용정보회사가 개인에게 유료 판매하는 신용정보 보호서비스는 월 1600원꼴이지만, 카드사를 거치면 월 3000원을 내야 하는 곳도 있습니다. 일반인들이 신용정보회사에 대해 잘 모르니까 카드사들이 재판매를 하면서 추가 수수료를 붙인 것입니다. 어찌 보면 카드사가 마땅히 제공해야 할 고객 정보보호 서비스를, '유료 서비스 중개'라는 수익원으로 변신시킨 '창조경제' 모델이 여기 있네요.

 

이만하면 카드사가 케이시비에 적극적으로 책임을 묻지 못하는 이유도 알만합니다. 피해배상을 묻자니, 결국 주주인 카드사 제 살 뜯어먹기입니다. 그러다 케이시비가 망해 나이스평가정보 독과점 체제가 되면, '신규사업 창출'로 생겼던 부가 소득도 배당금도 날아가고 신용조회 비용도 더 비싸게 물어야 할지도 모릅니다. [정유경 기자edge@hani.co.kr]