KCB 직원이 USB로 카드 3사 고객의 개인정보를 외부로 빼간 인원은 1억580만명에 달한다. 이 가운데 기업·가맹점, 사망자 등을 제외하면 유출 건수는 KB카드 4000만여건, NH농협과 롯데카드 각각 2000만여건에 달한다.
3개 카드사를 제외하고도 16개 금융사에서 127만건 개인정보가 동시에 유출된 것으로 추정됐다. 금감원은 불법 유출된 것으로 의심되는 개인정보 건수는 127만건이며, 중복을 제외한 고객 수는 약 65만명 수준이라고 설명했다. 이 중 금융회사의 고객 데이터베이스(DB)에 포함된 수는 36만명이다. 은행 24만명, 저축은행 2000명, 여신전문금융사 11만명 등이다.
기존 금융권 정보 유출사고는 개인 신상 관련 정보가 대부분이었다. 하지만 이번 사례는 성명과 전화번호 등 개인 식별정보 외에 카드번호와 유효기간, 타사 카드정보 등 금융사기의 타깃이 될 수 있는 모든 개인 신용정보가 포함돼 충격을 주고 있다.
개인정보 중 전화번호만 유출된 것은 32만건(32.7%)이며 성명과 전화번호가 유출된 사례는 6만건(6.2%)이다. 성명, 전화번호와 기타정보(직장명 등)가 함께 유출된 사례가 59만건(60.1%)인 것으로 조사됐다.
고객 유형별로는 개인고객정보가 76.8%(97만6000건), 법인고객정보가 나머지 23.2%(29만건)를 차지했다.
현재까지 정보 유출이 확인된 금융회사는 씨티은행(3만4000건), SC은행(10만3000건)이며, 나머지 14개 금융회사는 현재 대출모집인이 USB에 수록해 보관 중인 개인정보가 금융회사로부터 유출되었는지를 확인 중이라고 금감원은 설명했다.
금감원은 긴급 브리핑을 통해 위·변조 가능성이 없다고 일축했지만 고객정보가 어디까지 유출됐고, 몇 가지 항목이 추가 유출됐는지 파악조차 못하고 있다. 심지어 현장검사 과정에서 3개 카드사가 계열사와 고객정보를 `교차 공유`하고 이를 활용해 마케팅 등에 활용한 정황까지 흘러나왔다.
이와 관련, 금융당국은 카드 위·변조 가능성이 없다면서도 만일 피해가 발생하면 보상하겠다는 `사후약방문` 대책을 내놓았다. 그만큼 개인정보 유출 파문이 어디까지 진행될지 가늠하지 못한데 따른 것이다.
카드사의 고객관리 체계도 엉망이었다. 본지 확인 결과 신용카드와 체크카드, 심지어 최근 새 지불결제 수단으로 떠오르는 모바일카드 개인정보도 한꺼번에 뒤섞여 유출된 것으로 확인됐다.
한 카드사 고위 관계자는 “모바일카드 개인정보를 따로 분류하고 있지 않다”며 “유심 기반의 모바일카드 개인정보도 이번 정보에 포함된 것으로 안다”고 설명했다.
정보가 유출된 신용카드 고객에게는 별도의 통지와 재발급이 이뤄지지만, 모바일카드 고객 대상의 대응책은 전무하다.
카드정보 유출사고가 은행으로까지 확대되면서, 보이스피싱과 파밍, 스미싱 추가 피해가 우려된다. 아직 금감원에 접수된 사례는 없지만, 보이스피싱 소송을 진행 중인 법률사무소 선경에 따르면 최근 중국 보이스피싱 일당이 이번 카드 재발급을 악용해 파밍 등을 준비 중이라는 제보가 이첩됐다고 분위기를 전했다.
카드 위·변조 가능성이 적더라도 고객에 대한 정보 유출 사실 통지 과정에서 불안심리를 이용한 보이스피싱과 스미싱이 이뤄질 가능성이 높다는 분석이다.
한편 국민카드와 롯데카드는 지난 17일부터 정보 유출 본인 확인 서비스를 시작했다. 이 과정에서 자신의 은행 개인정보까지 모두 유출된 피해자 항의가 줄을 잇고 있다.
심지어 카드를 이미 해지한 고객정보도 조회결과 유출된 것으로 확인, 이들 카드사가 고객관리를 얼마나 엉망으로 했는지 여실히 보여주고 있다.
금융감독원은 고객정보 유출이 확인된 3개 카드사에 기존 전용상담창구 외에 일반 콜센터도 24시간 가동체제로 전환토록 했다. 고객이 희망하면 신용카드를 즉시 재발급하도록 하고 고객의 금전적 피해가 발생할 경우 카드사가 전액 보상하도록 했다.
정보 유출 추가 피해 예방 요령
자료:금융감독원
길재식기자 osolgil@etnews.com
