산업 산업일반

[카드 정보유출 후폭풍] 정보유출, 韓 과태료 600만원 vs 美 피해보상 181조

최경환 기자

파이낸셜뉴스

입력 2014.01.22 17:19

수정 2014.10.30 09:20

[카드 정보유출 후폭풍] 정보유출, 韓 과태료 600만원 vs 美 피해보상 181조

금융회사들이 저질러온 개인정보 유출 사고는 어제오늘의 일이 아니다. 처벌도 솜방망이로 끝나고 피해자가 소송을 해도 법원은 대부분 금융회사 손을 들어줬다. 이 때문에 지금까지 보안에 구멍이 뚫려도 큰 리스크가 아니라는 인식이 팽배했다. 그러나 이번 고객정보 유출 사고는 사상 최대 규모와 확장성에 따른 피해를 감안하면 사정이 다르다. 대한민국 경제활동에 참가하고 있는 인구의 전부라고 할 만한 1500만명에 달하는 규모다. 'IT전관예우'처럼 내려오는 최저가 낙찰제에 따른 피라미드식 나눠먹기 입찰제, 최고경영자(CEO)의 보안인식 부재, 정부의 안일한 제재, 난립한 법 체계 등 구조적인 문제가 총체적으로 만들어낸 인재사고였음을 보여준 사례다.
이에 국정 최고책임자도 책임을 엄하게 묻도록 하고 있고, 금융당국도 뒤늦게 팔을 걷어붙였다. 금융회사들은 사태의 심각성을 깨닫고 긴급히 현장 점검을 벌이고 대책 마련에 부심하고 있다.

■발등의 불, 몸으로 옮겨붙어

사건 당사자들인 KB국민카드와 농협카드, 롯데카드 등은 일파만파 번지고 있는 사태를 수습하느라 정신이 없다. 카드 3사는 장기적으로 개인정보 보안을 위해 다방면의 대책 마련을 위해 내부 실태 점검과 대안을 논의 중이다. 지난 20일에는 공동 기자회견을 통해 고객 피해 보상방안도 내놨다.

롯데카드 관계자는 "외부 해킹이 아닌 내부 인력에 의한 물리적인 보안부분에서 문제가 생겼다는 점에서 개선방안을 찾고 있다"며 "물리적인 보안 강화 외에도 보안 규정과 시스템을 강화하는 방안도 마련할 것"이라고 말했다. 카드사 개인정보 유출로 여타 금융사들도 보안 관련 내부 단속에 나서고 있다. 삼성카드는 사고가 발생한 카드사들과 유사한 맹점은 없는지 보안 직원들을 파견해 긴급 현장 점검을 벌이고 있다. 2011년 내부 직원에 의한 개인정보 유출을 경험한 바 있기 때문이다.

삼성카드 관계자는 "지난 2011년 사건으로 내부 보안규정이 강화된 상황이지만 이번 사건의 파장이 워낙 심각하다 보니 보안 관련 직원을 중심으로 현장 점검을 진행 중"이라고 전했다.

이번 사건이 카드사에서 발생했지만 정보보안이 최고 수준이라고 하는 제1금융권들도 바짝 긴장하면서 기존 보안체계를 재점검하고 있다.

산업은행 양우정 IT본부장은 "최소한의 인원만 고객정보 접근을 허용하고 개인정보 접속 모니터링 시스템을 통해 특정인이 과다하게 접속하면 바로 탐지가 가능한 시스템을 가동 중이고 모든 직원의 개인컴퓨터에도 탐지 소프트웨어를 장착해 놓고 있다"며 "이동식저장장치(USB) 저장을 물리적으로 차단하고 외주직원의 개인 노트북은 반입할 수 없도록 한 규정이 현장에서 더욱 철저히 지켜지도록 하고 있다"고 전했다.

■ IT전관 예우, 하도급도 문제

이번 메가톤급 고객정보 유출은 이미 예견된 사고라는 게 전문가들의 지적이다.

시스템이 완벽해도 사람이 제대로 구실을 하지 못한 데 따른 것이다. 우리나라의 보안 기술은 세계 최고 수준인 것으로 평가된다. 실제 금융권 보안 소프트웨어와 장비들도 대부분 국산을 사용한다. 외국산에 비해 품질에 전혀 손색이 없기 때문이다. 선도 업체들은 보안 장비를 수출할 정도로 기술수준이 높다.

그러나 인적관리 시스템은 여전히 후진국형이다. 과거 금융사고를 보면 피인수기관 직원의 소외된 부서 집중배치와 학연, 지연, 혈연에 따른 왜곡된 인사가 이들 금융기관 직원들을 한탕주의로 내몰아 금융사고를 조장하고 있는 것으로 분석되고 있다. 즉 인문학적인 요소가 결여된 인재사고가 언제, 어느 곳에서나 일어날수 있다는 것이다.

다단계 하도급 구조는 최저가 낙찰제에서 시작된다. 이 낙찰을 받기 위해 하청업체의 대표나 임원은 대부분 금융권 낙하산 출신들이다. 중소 금융보안회사 임원 이모씨는 "은행으로부터 수주를 받은 원청업체 밑에 재하청업체가 20개사 있는데 그중 19개사의 대표가 모두 해당 은행 출신들"이라고 말했다. 사업을 따내기 위해서 전직 임원들을 모셔오는 것은 법조계의 전관예우와 다를 게 없는 'IT전관예우'라 할 만하다.

원청업체가 싼값에 보안시스템 개발 사업을 낙찰받았으니 하도급에 재하도급으로 내려가면서 마진이 더 적어질 수밖에 없다. 하청구조의 최말단에는 소위 '프리랜서'로 불리는 비정규직 IT 노동자들이 자리잡고 있다. 이씨는 "금융보안 시스템 개발은 시간싸움이다. 인력을 몇 시간 투입하느냐가 단가를 결정한다"며 "이런 구조에서 기간 내 업무를 마치기 위해서는 정보접근 권한을 여러 사람에게 허용할 수밖에 없다"고 말했다.

■정부, 처벌의지 있나

감독기관인 정부의 역할에도 문제가 있다는 지적이다. 개인정보를 유출한 기업에 대해 경징계로 일관하다가 사건의 규모를 키웠다는 것.

175만명의 개인정보를 흘린 현대캐피탈과 정태영 사장은 지난 2011년 9월 금융감독원으로부터 각각 '기관경고'와 '주의적 경고'를 받고 IT담당자가 감봉 3개월을 받은 것이 징계의 전부였다. 삼성카드와 하나SK카드의 경우도 지난 2012년 9월 기관주의와 과태료 600만원 처분이라는 경징계를 받는 데 그쳤다. 사실상 개인정보 유출에 대한 강력한 처벌이 내려지는 경우는 없다고 봐야 한다.

반면, 또 미국의 금융서비스 회사인 서티지 체크 서비스에서는 지난 2007년 이 회사 개인정보 관리책임자가 정보브로커에게 돈을 받고 850만명의 개인정보를 넘겨준 사건으로 법원으로부터 1700억달러가 넘는 피해보상을 명령받았다.
집단소송 과정에서 법원이 피해자의 손을 들어준 것.

하지만 한국에서 금융사의 개인정보 유출의 과태료는 600만원이며 개인정보 유출 집단소송의 결과도 기업의 승리로 끝나는 경우가 다반사다.

보안 전문가는 "우선 개인정보보호법, 신용정보보호법, 정보통신망법, 신용정보의 이용 및 보호에 관한 법률 등으로 혼재된 법 체계부터 잡아야 한다"며 "법 체계가 서면 사건의 경중에 따른 바른 처벌이 가능할 것이다.
또 금융회사를 상대로 개인정보보호 관련 인증제도를 운영하는 것도 방안이 될 것"이라고 강조했다.

khchoi@fnnews.com 최경환 예병정 기자

fnSurvey