금융감독원이 13일 국회 기관보고를 통해 1억여건의 카드사 고객 정보 유출 사건의 전반적인 흐름에 대해 밝혔다.
한마디로 요약하자면 정보 유출 카드사인 국민카드와 롯데카드, 농협카드가 전자금융감독 규정을 어겨 발생한 인재(人災)라는 것이다.
◇용역직원 USB 하나로 1억여건 정보 털려 이번 사고는 신용정보업체 코리아크레딧뷰로(KCB)의 한 직원이 카드 부정사용방지시스템(FDS) 개선 작업의 용도로 받은 개인정보 실데이터를 보안프로그램이 설치되지 않은 PC를 통해 USB로 절취하면서 발생했다.
사고 발생 시점은 국민카드가 지난해 6월, 농협카드가 2012년 10월과 12월, 롯데카드가 지난해 12월이었다.
전자금융감독규정은 금융사에 대해 전산프로그램 테스트를 할 때에는 실데이터의 사용을 금지하고 이를 변환해 사용하도록 규정하고 있으나, 이들 카드사는 실제개인 정보를 변환 없이 제공했다.
USB 통제프로그램 등을 설치하도록 감독규정에 나와있는데도 이들 카드사는 무시했다.
개인정보 유출 경로는 '운영 서버→내부직원 PC 또는 개발 서버→USB 통제프로그램이 미설치된 KCB직원 PC→USB'로 이뤄졌다.
삼성카드나 신한카드처럼 전자금융감독규정에서 정한 대로 용역직원에게 정보를변환해 제공하거나 용역직원이 반입한 PC에 USB 통제프로그램을 설치했다면 이번 유출 사고는 막을 수 있었다고 금감원은 분석했다.
◇제도 정비 급급한 금감원…현장 감독 미흡 금감원은 이날 국회 기관보고에서 개인정보보호 법규 이행 실태에 대한 현장 감시가 미흡했던 점을 인정했다.
그동안 금감원은 IT 보완 관련 감독·검사가 해킹 등에 의한 외부 유출 예방 및내부통제 규정, 정보보안절차 등 제도 정비에 집중했다.
그러나 금융사의 개인정보 관리 실태 및 전산 개발 시 법규 준수 여부 등을 수시로 현장에서 밀착 점검하는 데는 한계가 있었다고 금감원은 밝혔다.
대출모집인, 텔레마케팅 등 비대면 영업의 증가로 금융사가 정보를 무분별하게활용하고 유통할 개연성이 늘고 있는데도 대응이 미흡했다는 점도 금감원은 반성했다.
프로그램 개발장소 제한, 전산기기 반출입의 원천적 금지 등 금융사 내부통제운영 실태에 대한 관리 감독상 미비점을 노출했고, 금융사 경영진에 대한 지도가 부족한 점도 시인했다.
그동안 개인정보 유출사건은 적지 않았다.
2009년 이후 지난 5년간 19개 금융사에서 20건의 개인정보유출사고가 발생해 총1억919만건의 정보가 유출됐다.
금감원은 2009년 이후 정보유출 금융사에 대한 현장 검사를 실시해 13개 금융사에 기관경고 또는 기관주의, 6개사는 과태료 부과 조치를 했다. 임직원 83명이 징계를 받았다.
금감원은 최근 개인정보를 보유·활용하는 금융사 및 금융협회 등 3천30개 기관에 개인정보 보호실태를 자체 점검하도록 지도했다. 금융사는 금감원이 마련한 체크리스트에 따라 점검을 하고 결과 및 개선계획서를 제출할 예정이다.
금감원은 자체 점검 결과, 내부 통제 등이 미흡한 것으로 분석된 금융사에 대해서는 내달 현장 검사를 추가로 할 예정이다.
president21@yna.co.kr(끝)<저 작 권 자(c)연 합 뉴 스. 무 단 전 재-재 배 포 금 지.>