BYOD / 보안

토픽 브리핑 | 카드사 고객정보 유출사건, 문제는 허술한 문서 관리 체계

이대영 기자 | ITWorld 2014.01.24
KB국민카드 5,300만 건, 롯데카드 2,600만 건, NH농협카드 2,500만 건. 총 1억 400만 건의 신용카드 개인정보가 유출된 카드사 고객정보 유출 사건은 많은 시사점을 던진다.

우선 이번 사건의 개요은 다음과 같다.

- 개인신용평가 전문업체인 KCB의 박 모 차장이 지난 2012년부터 카드사의 카드 도난분실, 위변조 탐지 시스템, 이른바 FDS 개발 프로젝트를 담당하면서 해당 카드사의 고객 정보를 유출한 사건.

- 2012년 10~12월, NH카드에서 약 2,500만 명의 개인정보를 USB에 불법 수집해 2013년 5월 개인정보를 광고대행업체 조 모 대표에게 1,650만 원을 받고 팔았다. 조 모 대표는 이 정보 가운데 100만 건을 다시 대출 모집인 이 모씨에게 2,300만 원을 받고 재판매했다.

- 2013년 6월, 박 모 차장은 KB카드에서 약 5,300만 개의 개인, 법인 카드 정보를 빼돌렸으며 조 모 대표에게로 넘겨졌다.

- 2013년 12월, 박 모 차장이 롯데카드에서 2,600만 명의 개인정보를 수집한 지 10여 일이 지난 상황에 창원지검 특수부에 체포됐다.

유출된 개인정보 범위는 총 19가지로, 자신이 카드를 만들때 기입한 정보인 성명, 이메일, 휴대전화 번호, 직장 전화 번호, 자택 전화 번호, 주민번호, 직장주소, 자택주소, 직장정보, 결혼 여부, 자가용 보유여부, 주거상황, 이용실적금액, 결제계좌, 결제일, 연소득과 함께 신용한도금액, 연체금액, 신용등급, 그리고 NH농협카드과 롯데카드의 경우 카드번호와 사용기한까지 포함한다.

카드 비밀번호와 CVC 번호를 제외한 모든 정보가 유출된 셈이다.

이번 사고에 대해 개인 사용자들이 피해를 최소화할 수 있는 방안은 자신의 신용카드와 계좌에 대해 지속적인 모니터링과 명의도용차단 서비스, 신규카드 발급, 신용카드 한도액을 낮추는 일 등이다.

유출된 개인정보 피해 최소화를 위한 개인 사용자의 행동 요령

이번 사건은 결과적으로 고양이에게 어물전을 맡긴 형국이다. 한 마디로 이 사건의 핵심은 고객 정보를 어떻게 관리하느냐의 문제지 수집한 고객 정보가 너무 많아서가 아니라는 점이다. 그래서 이 사고에 대한 금융당국의 정확한 대응책은 해당 카드사에게 문서 관리를 소홀히 한 책임을 묻고, 금융권 전반에 걸친 문서 관리 체계에 대한 검증이다.

또한 1차적으로 개인정보 유출에 대한 카드 고객의 피해 보상과 잠재적 2차 피해 보상에 대한 약속은 당연한 수순이다.

그러나 금융당국은 어물전에 생선이 너무 많은 것이 문제라고 사건을 키우고 있는 상황이다. 또한 피해 고객들에게 개인정보 유출에 대한 피해보상은 거론하지 않은 채, 2차 피해에 대한 보상을 얘기한다. 나아가 이번 사건이 카드사 및 금융권 전체의 과도한 고객 정보 수집을 원인으로 몰아가는 형국이다.

이 사건의 용의자인 박 모 차장은 오래전부터 개인정보 데이터 유출을 시도해왔다.

2012년 5월에도, 당시 프로젝트를 담당했던 삼성카드, 신한카드의 경우 데이터가 암호화되고 복제가 금지된 문서 보안 체계로 인해 정보를 빼내는 데 실패했다는 점을 주목할 수 있다.

결국 이는 사람의 문제도 아니며, 카드 3사의 문서 관리 체계가 허술했다는 점이 이 사건이 발생한 직접적인 원인인 것이다.

1차적인 피해를 입은 개인들도 문제가 심각하지만 앞으로 더 우려되는 것은 기업들이다. 이런 데이터 유출 사고는 현존 보안 체계상 어느 기업에서도 일어날 수 있는 사안이니만큼 철저한 보안 대책이 필요한 시점이다.

CSO 서바이벌 가이드 | 데이터 유출 사고 대응 전략

또한 이를 계기로 기업 스스로는 내부 정보 유출에 대해 전방위적인 점검이 필요하다. 특히 퇴사한 직원들이 앙심을 품거나 경쟁 업체로 이직하는 이가 있다면 데이터 유출은 정말 큰일이 아닐 수 없다.

기업 데이터 유출 방지를 위한 DB 보안 가이드
앙심 품고 퇴사한 직원으로부터 기업 정보를 보호하는 방법
내부 직원의 정보 유출, 왜 막을 수 없나?

그러나 정보 관리와 기업의 생산성은 상당히 반비례적인 성향을 보이고 있으며, 이 두 가지에 대한 균형적인 문서 관리 기법이 필요하다.

기밀정보와 업무 생산성의 딜레마

이와 함께 이번 사건을 계기로 기업들이 마음껏 고객정보를 수집하고 활용하던 시대는 끝날 것으로 예상된다. 고객들이 자신의 개인정보를 공유하기를 꺼려할 것이기 때문이다. 따라서 기업들은 고객들의 정보 활용에 새로운 방법을 찾아야 할 것으로 보인다.

“기업이 마음껏 고객정보 수집, 활용하던 황금시대가 가고 있다” editor@itoworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.