금감원, 정무위 보고서
[ 김일규 기자 ]
1억여명의 카드사 회원정보를 빼내는 초유의 범죄를 저지른 코리아크레딧뷰로(KCB) 직원이 신한카드와 삼성카드 회원정보 유출엔 실패한 이유는 뭘까. 금융당국 조사결과 이들 카드사가 정해진 정보보호 관련 규정을 엄격히 지켰기 때문인 것으로 나타났다.
금융감독원은 13일 국회 정무위원회 국정조사에서 이 같은 내용이 담긴 기관보고서를 제출했다. 보고서에 따르면 고객정보가 유출된 KB국민·NH농협·롯데 등 3개 카드사가 정보보호 관련 규정을 위반한 것과 달리 신한카드와 삼성카드는 규정을 제대로 지켜 유출 피해를 막았다.
금감원 전자금융감독규정은 컴퓨터 등 단말기에 보조기억매체(USB 등)가 접근하지 못하게 통제하도록 정하고 있다. 하지만 3개 카드사 모두 이 규정을 지키지 않았다. 용역 업무 수행차 파견된 KCB 직원은 이를 이용해 USB 통제프로그램이 없는 자신의 컴퓨터에 USB를 꽂아 개인정보를 빼갔다.
반면 신한·삼성카드는 규정을 지켜 KCB 직원이 자신의 컴퓨터에 USB를 꽂는 데 실패했다. 감독규정은 또 시스템 개선을 위한 테스트 때 실제 개인정보 사용을 금지하고 있지만 3개 카드사는 이를 지키지 않았다.
반면 신한카드와 삼성카드는 테스트 시 KCB 직원이 실제 고객정보를 사용하는 것을 막았다.
금감원 관계자는 “신한카드는 KCB 직원으로부터 실제 고객정보를 달라는 요구를 받았지만, 이를 거절하고 변환된 가공의 데이터를 제공해 개인정보 유출을 피해갔다”고 설명했다.
NH농협·롯데카드는 전산장비의 반입을 통제하라는 규정도 지키지 않았다. NH농협카드는 전산장비 반출도 제대로 통제하지 않았다. 이에 비해 신한·삼성카드는 반입·반출 통제에 관한 규정을 모두 엄격히 적용했다는 게 금감원의 설명이다.
김일규 기자 black0419@hankyung.com