보안시스템 개발 용역직원이 고객정보 빼돌려-내부통제 구멍

입력 2014-01-09 00:26
내부직원 가담도 느는데 당국 뒷북 대응만


금융회사가 관리하는 엄청난 양의 개인정보가 유출되는 사고가 잇따르고 있다. 지난달 한국씨티은행과 한국스탠다드차타드(SC)은행에서 13만7000여건의 고객정보가 유출된 데 이어 이번엔 KB국민카드 NH농협카드 롯데카드 등 3개사에서 무려 1억400만여명(중복 포함)의 고객 인적사항 정보가 빠져나가 충격을 주고 있다. 금융권 사상 최대 규모의 정보 유출 사고다. 일부 정보는 이미 대출모집인 등에게 흘러들어간 것으로 파악돼 2차, 3차 피해가 우려된다.



○내부 통제 및 용역 관리 부실



최근 발생한 정보 유출 사고는 금융회사가 용역을 준 전산 관련 업체의 직원들이 주도하는 경우가 많다. 일부 사건에선 내부 직원이 가담하기도 했다. 용역업체 직원들은 길게는 3개월가량 금융사로 출퇴근하며 이동식 저장장치(USB)를 활용해 고객 정보를 대량으로 빼내는 수법을 사용한 것으로 드러났다.



물론 금융회사들은 내부 통제 장치를 갖추고 있다. 카드사만 해도 △외부 PC 반입 금지 △USB 등 외부 저장장치 접속 차단 △암호화를 거친 고객정보와 가공한 고객 정보만 열람 허용 등과 같은 보안정책을 두고 있다. 그러나 보안 전문가인 용역 직원들에겐 큰 장애물이 되지 못했다.



금융사들은 정보 유출을 100% 차단하는 데 한계가 있다고 주장한다. 한 카드사 관계자는 “범죄를 저지르겠다고 마음먹은 전산 전문가를 완벽하게 통제하긴 쉽지 않다”며 “KCB라는 유명한 개인신용평가 전문회사 직원이 이런 범죄를 저지를 것이라고는 꿈에도 생각하지 못했다”고 말했다.



이와 달리 금융사의 부실한 내부 통제와 용역 직원에 대한 관리 소홀이 원인이라는 지적도 많다. 용역 직원들이 마치 발주사 직원인 것처럼 출퇴근하다 보니 보안 통제가 느슨하게 작동하는 사례가 많다는 얘기다.



○대출 사기범에 흘러들어



고객 이름, 주민등록번호, 주소, 전화번호, 직장주소 등과 같은 정보는 불법으로 유출된 뒤 대출 사기범들에게 흘러들러가게 마련이다. 금융당국은 이번에 유출된 1억400만건 중 상당수의 정보가 미등록 대부업자, 대출모집인 등에게 판매됐을 것으로 보고 즉각적인 검사에 나서기로 했다.



고객정보 유출에 따른 2차 피해는 금융감독원에 접수된 대출사기 상담 및 신고 건수에서도 확인할 수 있다. 지난해 1~11월 금감원에 접수된 ‘금융회사 사칭 대출사기’ 상담 건수와 피해 신고 금액은 각각 2만2338건, 787억원으로 전년 동기(2만1334건, 327억원)보다 4.7%와 140% 증가했다.



자영업을 하는 한모씨(58)는 OO캐피탈을 사칭하며 저금리로 1500만원을 대출해주겠다는 사기범 말에 속아 공증료 등의 명목으로 380만원을 송금했다가 떼이기도 했다. 나중에 금감원이 확인해 보니 이 역시 불법으로 유통된 개인정보에 의한 범죄였다.



금감원 관계자는 “일단 유출된 정보는 다양한 경로로 다수의 업자에게 급속히 유통되기 때문에 범인들이 자백하지 않는 이상 정확한 피해 규모를 파악하기조차 쉽지 않다”고 말했다.



○금융당국은 뒷북만 요란



금융권의 대규모 개인정보 유출 사건이 검찰 수사를 통해 잇달아 적발되자 금융당국은 부랴부랴 보완대책을 내놓았다.



금융위원회와 금감원은 8일 해당 금융사에 대한 검사에서 위법 사항이 드러나면 엄중 제재하겠다고 발표했다.



하지만 카드사들이 이번에 KCB로부터 컨설팅을 받은 위·변조 탐지 시스템(FDS)은 금융당국의 지도에 따른 것이었다. 그런데도 카드사들이 용역업체 직원들을 제대로 관리·감독하도록 사전에 조치를 취하지 않고, 뒤늦게 후속 대책을 발표하는 데 급급하다는 지적이다.



금융권의 한 관계자는 “19개 금융회사가 공동출자한 KCB에서 설마 대형 사고가 일어날까 하는 생각을 했던 것 같다”며 “일이 터지면 대책을 내놓는 것도 중요하지만 선제 관리와 감독엔 실패한 셈”이라고 지적했다.

류시훈 기자 bada@hankyung.com

[한경+ 구독신청] [기사구매] [모바일앱] ⓒ '성공을 부르는 습관' 한경닷컴, 무단 전재 및 재배포 금지