이제 카드사의 책임을 한 번 털어봅시다

정유경 경제부 정책금융팀 기자

[토요판] 리뷰&프리뷰 친절한 기자들

저도 털렸습니다. ‘안녕들 하십니까’에 이어 새로 유행하는 말로 친절한 기자들을 시작해야 할 것 같습니다. <한겨레> 경제부에서 카드사·제2금융권을 담당하는 정유경 기자입니다. ‘영혼 빼고 다 털렸다’는 이번 정보유출 사태, 피해자 아닌 사람 찾기가 더 어렵습니다. 대통령도 털렸는데 별수 있나요? 유럽을 순방중인 박근혜 대통령은 “책임자를 엄중히 문책”하라고 전했다는데 현오석 경제부총리는 “책임을 묻는 건 어리석은 사람”이라니, 당국도 “많이 당황하셨어요?”인가 봅니다.

잦은 개인정보 유출 사태로 주민번호는 이미 ‘공공재’라지만, 이번엔 금융정보여서 심각한 문제입니다. 이 사건을 단독 보도(<한겨레> 1월8일치 19면)했을 때도 설마 카드번호와 유효기간까지 그대로 유출됐으리라고는 상상하지 못했습니다. 비밀번호를 제외하면 데이터 암호화도 되지 않았다는 얘깁니다.

주변에서 질문을 많이 받습니다. 정보가 유출된 건 2012년 12월부터라는데, 지난해 10월에 롯데카드에 가입한 제 친구는 왜 포함됐을까요? “1년이 지난 지금까지 2차 피해 신고가 없다”는데, 정말 카드사 말대로 “부정사용 가능성이 낮은” 걸까요?

차근차근 설명해 드리겠습니다. 창원지검은 지난해 불법으로 개인정보를 유통하는 대출모집업자에 대한 수사를 벌였는데, 이때 압수한 자료 가운데 금융사에서 흘러나온 100만건의 개인정보가 담긴 유에스비(USB) 메모리가 있었습니다. 대출모집업자는 이 자료의 ‘구입처’로 광고대행업자 조아무개씨를 지목했고, 조씨는 ‘롯데카드에 카드부정사용방지시스템(FDS)을 구축해 주러 파견나간 케이시비(KCB)의 박아무개 차장에게서 샀다’고 실토했습니다. 검찰이 박 차장을 구속하고 12월6일에 집과 사무실(롯데카드, 케이시비)을 뒤졌더니, 박 차장이 몰래 갖고 있던 1억400만건의 개인정보가 쏟아져 나온 겁니다.

박 차장은 2012년 10월엔 농협카드에서 일했고, 2013년 6월에는 국민카드에서 일했으며, 2013년 12월에는 롯데카드에서 일하면서 차례로 고객 정보를 빼냈습니다. 삼성카드와 신한카드에서도 근무했는데, 다른 카드사 고객 정보는 발견되지 않았습니다.

박 차장은 어떻게 카드사들에서 고루 일하며 정보까지 빼냈을까요? 케이시비(코리아크레딧뷰로)는 개인의 신용등급을 매기는 신용정보업체입니다. 금융회사들은 혹시 이 고객이 다른 은행에서 돈을 빌리고 안 갚고 있는 건 아닌지, 상습 카드 연체자는 아닌지 확인하기 위해 정보를 공유할 필요가 있었습니다. 그래서 돈을 모아 케이시비를 만들었습니다.

신용정보업체는 공공기관이 아니고 영리업체입니다. 사업을 해서 이윤을 내야 합니다. 그래서 신용조회 업무 외에도, 금융기관이 자체적으로 신용등급을 판단할 수 있는 시스템(CSS)이나 부정사용방지시스템을 구축해주는 ‘인력 파견’ 사업을 합니다. 박씨는 바로 이 부정사용방지시스템을 구축해주는 직원이었기 때문에 고객정보에 쉽게 접근할 수 있었습니다. 한마디로, 카드사들이 금고를 더 튼튼하게 고쳐달라고 열쇠공을 불러놓고 금고 안에 돈을 넣어둔 채 자리를 비운 거나 마찬가집니다.

열어볼수록 사태는 심각합니다. 이번 유출 사태로 인해, 탈퇴하면 개인정보를 삭제한다던 말과 달리 그대로 보관했다는 사실도 드러났습니다. 정보 제공에 한번 동의하면 자회사를 비롯해 수백개 기업으로 한꺼번에 팔아넘겼습니다. 넘어간 정보가 제대로 삭제됐는지도 미지숩니다. 개인정보를 여기저기 긁어모아 기업끼리 돌려보고는, 정작 관리엔 소홀했던 겁니다.

금융사들이 고객정보를 ‘남’의 손에 맡겼다는 비난도 피하기 어렵습니다. 고객정보를 취급하는 전산(IT)·고객지원센터·영업(모집) 등은 금융기관에서 ‘아웃소싱’(외주)한 경우가 많습니다. 필요할 때만 쓰고 잘라내, 비용을 아끼기 위해섭니다. 근무환경도 열악합니다. 사람도 들쭉날쭉 바뀝니다. 개인정보 보호에 대한 의식이 미약할 수밖에 없습니다. 최근 유출 사태는 다 이런 부서에서 터지고 있습니다.

2차 피해는 정말 없을까요? 카드사들은 “부정사용에 대해 보상해 주겠다”고 하지만, 막상 피해 사례에 대해서는 “이번 정보유출 때문이 아니다”라고 해명하고 있습니다. 결제에는 카드번호·유효기간 외에도 카드 뒷면의 시브이시(CVC) 번호 혹은 비밀번호가 필요한데, 그 정보는 이번에 유출되지 않았다는 겁니다.

하지만 개인정보는 퍼즐 조각 같은 겁니다. 아무 고객센터에 비밀번호를 잃어버렸다고 전화하면 주소와 전화번호, 주민번호 뒷자리만 확인해줘도 본인 확인을 해주는 곳도 있습니다. 사기범들은 10개의 개인정보 퍼즐 조각 중 8개를 얻었습니다. 나머지 그림을 짜맞추는 일은 얼마나 어려울까요? 그리고 나머지까지 짜맞춰 피해가 발생했다면, 카드사의 책임은 전혀 없다고 할 수 있을까요?

정유경 경제부 정책금융팀 기자