▲(최종구 부원장) 2013년 12월 11일 창원지검은 씨티은행과 SC은행에서 고객정보가 대출모집인에게 유출된 사실을 발표했다. 금감원은 검찰로부터 고객정보 불법유출 혐의자가 소지한 기타금융회사 고객정보를 입수해 정밀 분류 중이다. 우선 정보유출 가능성이 있는 16개 회사에 자체점검을 실시토록 요청했다. 이중 유출이 확인돼 검찰이 기소한 씨티은행과 SC은행에 대해서는 지난 17일 특별검사에 착수했다.
지난 8일 검찰은 KB국민카드, 롯데카드, NH농협카드 등 3개 카드사에서 1억400만건의 정보를 유출한 외부 용역직원과 이를 구매한 대출광고업자, 대출모집인을 추가로 기소했다. 지난 13일 3개 신용카드사 현장검사에 착수해 정보유출 경위와 책임소재를 파악중이다.
--고객정보가 담긴 USB가 어디서 수집돼 어떤 경로로 유출된 것인가.
▲(박세춘 부원장보) 3개 카드사에서 유출돼 USB에 담긴 정보는 1차 전달, 혹은 2차 전달된 대출모집인으로부터 모두 압수됐다. 검찰에서 이후 유통한 사실 없다고 진술을 받았다. 16개 금융사의 경우 SC은행, 씨티은행은 정보가 유출된 것으로 확인돼 관련자를 구속했다. 대출모집인이 갖고 있던 USB는 압수됐다. 본인이 여러 경로로 수집한 정보를 담아놨거나 일부 금융사에서 수집한 정보도 있을 수 있다. 다만, 최종으로 USB 상태에서 압수됐기에 이후 유통되지 않은 것으로 확인된다.
--시민들의 불안이 크다. 해소 방안은.
▲(박세춘 부원장보) 국민은행 계열사 고객의 정보가 유출됐다. 예금, 대출 등 구체적인 거래정보가 아닌 개인정보만 유출된 것으로 파악된다. 정보 유출에 따른 피해가 발생하지 않도록 대책을 강구하고 있다.
--개인정보가 유출된 고객은 카드를 바꿔야 하나.
▲(정인화 개인정보보호단 실장) CVC(카드 뒷면의 유효성 코드), 비밀번호는 따로 보관돼 암호화돼 있어 위·변조 위험은 없다고 본다. 그래도 고객이 불안하면 카드사에서 재발급받도록 하고 비밀번호를 변경하면 된다. 3개 카드사에서 무료로 실시간 카드사용내역을 문자메시지로 보내주기 때문에, 본인이 사용치 않은 거래가 나오면 바로 신고해 분쟁절차를 거쳐 그 금액을 보상하도록 돼 있다.
--국민은행 계좌가 없는데도 정보가 유출됐다. 이유는.
▲(박세춘 부원장보) KB국민카드사가 국민은행 계열사 정보를 보관하고 있던 것이 이번에 함께 유출된 것이다. 개인들에게 통보 절차를 진행 중이다.
--타행 정보도 유출됐다는데.
▲(박세춘 부원장보) 해당 카드의 신용카드 결제계좌도 유출됐기 때문이다.
--KB국민카드의 경우 왜 타사 카드의 사용금액까지 함께 유출된 것인가.
▲(류찬우 여신전문검사실장) 카드사끼리 은행연합회, 여신금융협회, 타사 등을 통해 정보를 공유한 것으로 예상된다. 신용도 조사나 대출한도 산정에 활용하기 위한 목적으로 알고 있다.
--예전에 카드를 해지했는데도 정보가 유출됐다. 해지한 고객 정보를 보관하는 것 자체가 문제 아니냐.
▲(박세춘 부원장보) 이번에 유출된 정보에는 해지고객이나 휴면계좌, 법인고객도 일부 포함됐다.
▲(류찬우 여신전문검사실장) 카드사의 경우 해지고객에 대해 5년간 관련 정보를 보유할 수 있고, 5년이 지나면 폐기하도록 돼 있다. 이번에 검사를 실시해 혹시 5년이 지난 고객정보도 계속 보유한 것으로 나타나면 제재할 예정이다.
--5년간 보관할 수 있도록 법에 정해져 있나.
▲(정인화 개인정보보호단 실장) ‘개인정보보호법’에 필요한 기간 이내에 각 카드사의 내규로 정해 운영하도록 돼 있다. (5년이 지나면) 반드시 삭제해야 다.
--카드번호와 유효기간이 유출된 사례가 과거에도 있나.
▲(박세춘 부원장보) 대량으로 유출된 건 이번이 처음이다.
--카드번호, 유효기간이 공개됐을 때 가능한 2차 피해는 무엇인가.
▲(박세춘 부원장보) 카드번호와 유효기간만으로 ‘비대면 거래’가 가능하다. 홈쇼핑, 방문판매, 보험판매 등 전화승인 거래가 일부 있을 수 있다. 대부분 휴대전화 SMS 인증을 받거나 패스워드를 요구하기 때문에 부정사용은 대부분 차단된다. 카드사와 협의해 후속조치를 마련하고 있다.
--부정사용 발생시 보상되는가.
▲(박세춘 부원장보) 다 보상된다.
--카드번호와 유효기간이 유출된 고객에 대해서는 카드사가 의무적으로 카드를 재발급해줘야 하는 것 아니냐.
▲소수 비대면거래의 개연성만 갖고 무조건 다 재발급해주는 것은 현실성 면에서 생각해볼 필요가 있다.
--해외사이트는 공인인증서 요구 없고, CVC 번호 없이도 거래가 가능한데.
▲해외사이트는 유효기간과 카드번호만으로 거래 승인이 이뤄지는 경우가 많다. 그러나 승인 시점에선 문자메시지로 통보돼 부정사용 발생시 고객이 인지할 수 있다. 또 정보유출 시점에서 1년 이상이 경과한 상황이다. 정보유출에 의한 부정사용이 있었다면 해당 거래가 의미있게 증가했어야 하는데 지금까지 그런 부문이 없다.
--앞으로 3개 카드사 고객이 보이스피싱 피해를 입는다면 그 피해가 이번 정보유출에 따른 것인지 입증할 책임이 누구에게 있나.
▲(박세춘 부원장보) 이번 카드사 정보유출에 따른 피해는 보상한다는 게 대전제다. 보이스피싱 피해가 발생하면 무조건 피해보상을 해주는 것은 아니고 이번 정보유출에 의해 입수된 정보인지, 과거에 유출된 정보인지 개별 사안별로 판단할 것이다.
--지난 금요일부터 카드사들이 정보유출 본인확인절차를 했다. KB국민카드는 단순하게 홈페이지에 이름과 생년월일을 입력하면 결과가 나오도록 했다. 본인확인 절차를 하면서조차 개인정보 보호에 신경을 안 썼다.
▲(박세춘 부원장보) 개인정보보호법에 따른 서면, 이메일 등 통보절차를 거치기에 시간이 많이 걸려 일단 카드사 홈페이지에 빨리 본인조회시스템을 구축하겠다는 취지였다. 빨리 시스템을 오픈한다는 생각만 하고 본인 인증절차가 미흡했던 게 아닌가 한다. 18일 검사반을 보내 사실관계를 규명하고 있다.
--신제윤 금융위원장, 최수현 금융감독원장 등의 정보도 유출된 게 사실이냐.
