카드 3사의 개인정보 유출 과정에서 해당 기업들이 보안관리를 느슨하게 했던 정황이 드러났다. 개인정보를 유출한 박 모씨는 18일 카드정보를 빼돌린 것이 우발적 행동이라고 주장했고, 이에 대해 국회의원들은 위증에 해당될 수 있다고 지적했다.
보안 전문가들은 카드 정보가 전문 업자에 의해 유통되면서 2차 피해 가능성이 있다고 우려했다.
KCB직원 박 모씨는 이날 국회 정무위원회 국정조사에 출석, 삼성카드와 신한카드에서도 개인정보를 유출하려고 했느냐는 김재경 새누리당 의원 질문에, “시도한 것은 아니다. 삼성과 신한카드는 보안지침이 강화돼 있어 (개인정보를 빼낼) 생각이 없었다”고 답변했다. 삼성과 신한 카드 두 곳은 물리적 보안 규정이 매우 까다롭게 돼 있을 뿐 아니라 보안성 심의를 하기 때문이라고 덧붙였다. 정보가 유출된 카드 3사와 달리 이 두 곳의 카드사는 보안 수준이 높았다는 것이다.
이날 국정조사에서는 개인정보를 유출하는 과정도 일부 공개됐다. 1차 유출은 보안 프로그램이 깔려 있지 않은 PC를 사용했고, 2차 시도에서는 보안 프로그램을 무력화시켰다는 것이다. 박 모씨는 또한 고객 실데이터도 카드사로부터 손쉽게 받아 사용했다.
박대동 새누리당 의원이 박 모씨에게 “보안 프로그램이 깔려 있지 않은 PC를 이용했느냐”고 질문을 하자, 박씨는 “바로 뒷자리에 설치돼 있었다. 9월 말 필요하다는 요청을 해서 장비를 갖다 놨다”고 답했다.
데이터 보안을 풀었냐는 민병두 민주당 의원의 질문에, 박 모씨는 “운용체계(OS)를 포맷하면 보안 프로그램이 작동하지 않는다”고 말했다.
카드 3사 수장들은 2차 피해에는 법률이 정하는 바에 따라 보상하되, 정신적 피해보상에는 신중론을 펼쳤다. 특히 농협과 국민카드는 이날 국정조사에서 지적된 해지 고객의 잔여 포인트를 전액 환급해 줄 계획이라고 밝혔다.
박상훈 롯데카드 사장은 “2차 피해는 조사에 시간이 많이 걸릴 것이고, 확인이 된다면 그에 따르는 적정한 보상을 하겠다”고 밝혔다.
김덕수 KB국민카드 사장직무대행은 “정신적 피해 보상에는 법을 충분히 검토해서 방안을 찾도록 하겠다”고 말했다. 이신형 NH농협카드 사장 역시 “2차 피해는 보상할 계획이며 정신적 피해 보상은 향후 법적 절차에 따라 결정된다면 충실하게 따르겠다”고 말했다.
해지고객이 보유한 포인트는 농협이 31억원어치, 롯데와 국민카드가 각각 9억포인트를 갖고 있다. 롯데카드는 모두 돌려 줬으며, 국민카드는 현재까지 6억5000만원 상당의 포인트를 돌려주지 않은 상태다.
참고인으로 나온 보안 전문가들은 개인정보 2차 유출 가능성을 우려했다.
문송천 카이스트 교수는 “USB 하나를 갖고 하는 것은 말장난에 불과하다. 다수의 복사본을 생성했을 뿐 아니라 여러 군데 배포했을 것”이라고 지적했다.
임종인 고려대 정보보호대학원장은 “요즘에는 클라우드 서비스가 있기 때문에 접속방법과 번호만 알려 주면 증거를 안 남기고 전달할 수 있다”며 “2차 유출이 없었다는 것은 말이 안 된다”고 지적했다.
김원석기자 stone201@etnews.com
