우리나라 국민 2000여만명의 신용정보가 대출모집인과 불법사금융업체 등에 흘러간 것으로 확인되면서 사실상 신용카드를 사용하는 모든 국민의 개인정보가 빠져나간 것이나 다름없게 됐다. 이 때문에 현재 사고를 일으킨 신용카드사에는 신용카드 재발급과 해지를 요청한 사람이 200만여명에 이르는 등 큰 혼란을 겪고 있다.
그러나 이 사건은 신용카드 재발급으로 해결될 수 있는 것이 아니라는 점 때문에 문제의 심각성을 더한다. 현재 시스템으로는 재발급 받은 신용카드 정보가 다시 유출되는 것은 시간문제다.
불법 유출된 것으로 알려진 정보의 종류도 살펴보면, 대출, 대리운전, 인터넷 도박, 게임 등의 스팸문자와 메일에 활용됐을 것으로 추측할 수 있으며, 평소 이와 관련된 막연한 불안감을 실제로 확인한 수준이라고 할 수 있다.
개인정보 유출로 인한 피해는 이전에도 많이 노출돼 있었다. 이미 유출된 정보와 공개된 정보를 조합하면 개인에 대한 거의 모든 정보를 완성할 수 있으며, 이를 이용해 불법 인터넷 게임의 유령 계정을 만들거나, 스팸메일 발송, 불법대출 및 사기 등으로 이용할 수 있었다.
전 금융기관 개인정보 안전하지 않아
이번에 드러난 사건은 지난해 검찰이 인터넷 도박사이트와 불법사금융업자에 대한 단속을 벌이던 중 한국SC은행, 한국씨티은행 고객정보를 불법유출한 내부자, IT수탁업체, 대출광고업자 등을 검거한 것을 계기로 수사를 확대하면서 시작됐다.
검찰은 금융기관 직원들이 대량의 개인정보를 대출 모집인과 불법 사채업자에게 팔아넘긴 혐의를 포착해 발표했다.
한국씨티은행에서는 대출업무를 담당하던 직원이 이 해 4월 근무하는 지점 사무실에서 회사 전산망에 저장된 대출채무자 3만4000명의 정보를 A4용지 1100여장에 출력해 대출모집인에게 전달한 혐의를 받고 있다.
한국SC은행에서는 외주업체 직원이 2011년 11월부터 대학 선배인 대출모집인 등의 부탁을 받고 본점 사무실에서 은행 전산망에 저장된 고객 10만4000여명의 정보를 USB에 복사해 준 혐의를 받고 있다.
검찰은 이들이 고객정보를 전달해준 대출모집인의 USB를 수사한 결과 엄청난 규모의 고객정보가 추가로 유출된 정황을 포착해 수사를 진행하고 있다. 대출모집인들이 전달해 받은 고객정보는 수십만건에 이른다.
이보다 더 심각한 정보유출 사고가 KCB 직원에 의해 벌어진 신용정보 유출이다.
신용정보회사 카드 부정사용 방지 시스템을 개발하는 업무를 담당하던 KCB 직원이 2012년부터 2013년까지 KB국민카드, 롯데카드, NH농협카드에 파견돼 근무하면서 각 회사의 전산망에 접근해 USB로 1억4000만건의 고객정보를 팔아넘겼다.
이 정보에는 고객 이름, 휴대전화, 주소 등 기본적인 정보뿐 아니라 대출 금액, 금리까지 상세한 정보가 담겨 있었던 것으로 전해진다.
유출된 정보에 민감한 신용정보가 포함돼 있어 추가 피해 우려가 심각하게 제기된다. 유출된 정보는 신용카드와 관련된 이용실적 금액, 결제계좌, 타사 카드 보유 현황 등 20여개에 이르는 항목으로 작성돼 있었으며, 일부 신용카드사에서는 카드를 만들지 않은 고객의 정보도 있었다. 사망자와 신용카드를 해지한 사람들의 정보도 포함돼 있어 신용카드사들이 과도하게 많은 개인정보를 수집·보관하고 있었다는 점도 비판을 받았다.
개인정보 유출사고 처벌은 ‘솜방망이’
정부는 22일 ‘금융회사 고객정보 유출 재발방지 대책’을 발표하고 정보유출 사고를 일으킨 금융회사에 대한 과징금과 임원진 중징계, 3개월 영업정지 등 강력한 처벌을 내릴 것이라고 발표했다. 더불어 금융기관의 정보수집과 공유를 제한한하겠다고 밝혔다.
금융감독당국이 강력한 처벌조항을 마련하고 있는 것과 별도로 정보유출 피해를 입은 고객들이 집단소송 움직임을 보이고 있다.
그러나 이전의 정보유출사고 집단소송 전례를 보면 사고를 일으킨 기관에 대해 솜방망이 처벌에 그칠 것이며, 집단소송도 피해자에게 유리한 판결이 나오기는 어렵다는 부정적인 전망이 지배적이다.
175만건의 개인정보 유출사고를 일으킨 현대캐피탈, 47만건의 정보유출 사고를 일으킨 삼성카드, 5만건의 정보유출 사고를 일으킨 하나SK카드 등 이전의 개인정보 유출 사고는 경고, 담당자 감봉, 과태료 600만원 등이 전부였다
SK커뮤니케이션즈는 3500만건의 개인정보 유출사고를 일으켜 집단소송을 당했는데, 2건의 소송은 SK컴즈의 손해배상 책임이 없다는 결론이 났으며, 1 건은 위자료 100만원을 지급하라는 판결을 받았다.
