카드사, ‘막장 보안체계’ 해부

카드사, ‘막장 보안체계’ 해부: 장우진 / 기사승인 : 2011-09-26 11:43:02

삼성카드 이어 하나SK카드까지 고객정보 유출

삼성카드에 이어 하나SK카드도 고객 개인정보 유출 의혹에 경찰이 수사에 나서면서 카드사들이 도덕적 해이현상이 도마에 오르고 있다.
최근 서울 남대문경찰서에 따르면 하나SK카드는 최근 내부 감찰에서 직원 박 모씨 등 2명이 고객 200여명의 정보를 유출한 사실을 포착하고 경찰에 고발장을 제출했다.
카드사들의 연이은 고객정보 유출에 구조적 문제에 대한 근본적인 지적이 일고 있다.
올 상반기에도 농협·현대캐피탈 등 굵직한 금융 해킹사태가 벌어진데 이어 올 하반기에도 네이트를 비롯해 삼성카드·하나SK카드 등 줄이어 고객정보가 유출되자 카드사들은 지나친 외형확대에만 치우친 나머지 금융IT 감독에 대해 너무 안이하게 대처하고 있다는 지적이다.
특히 SK텔레콤은 네이트에 이어 하나SK카드까지 고객정보가 누출돼 신용도에 큰 타격을 입을 것으로 예상된다.

◇하나SK카드, 피해확대 가능성도

하나SK카드 고객 개인정보 유출의혹과 관련해 경찰은 이를 위해 조만간 고발장을 제출한 카드사 관계자를 불러 강도 높은 조사를 실시하고 있다.
경찰 관계자는 “카드사측에서 고객정보 유출 경위에 대한 조사를 요청했다”며 “다만 유출범위 등 관련 자료는 제출하지 않았다”고 설명했다.
이와 관련 하나SK카드 관계자는 “(언론에서 나오는) 2만건 고객정보 유출은 사실과 다르다”며 “내부 감사 과정에서 직원이 회원 신상정보 200건을 유출한 정황을 파악하고 경찰에 수사의뢰를 했다”고 해명했다.
하나SK카드 측은 200건의 고객 신상정보가 빠져나갔지만 고객 비밀번호와 계좌번호 등의 금융거래 정보는 유출되지 않은 것으로 보고 있다. 하지만 삼성카드가 당초 2만건의 고객정보 유출을 발표했다가 나중에 80만여건으로 확대됐듯이 하나SK카드 피해 규모 또한 200건에서 수 만 건으로 늘어날 가능성도 배제하지 못하는 상황이다.

◇금융보안에 대한 도덕적 해이현상

왜 유독 카드사에서만 고객정보 유출 사고가 많은 것일까.
카드사들은 은행, 보험권에 비해 내부통제와 보안의식이 결여돼 있다는 지적이다. 여신금융업계 한 관계자는 “임직원들이 친지나 유명 연예인 등의 생활패턴이나 소비패턴을 파악하기 위해 재미삼아 개인정보를 조회하거나 돌려본 적이 있다”고 전했다.
한 카드사 IT기획 부장도 “카드사들은 수백개의 제휴업체와 가맹점, 아웃바운드 영업 등을 통해 수천만명의 고객정보가 밀집돼 있는데, 이를 영업에 접목시키는 일이 많고, 특히 마음만 먹으면 누구나 손쉽게 고객정보를 조회, 유출시킬 수 있는 구조적 결함이 있다”고 말했다.
그는 이어 “카드사들이 은행 등에 비해 정보유출 리스크가 더 높음에도 기초교육 조차 제대로 이뤄지지 않고 있다”고 덧붙였다.
앞서 금융감독 당국은 현대캐피탈과 농협의 해킹피해 이후 최고정보보호책임자(CSO)를 채용해 보안을 전담토록 하고 정보기술(IT) 보안 인력을 회사임직원의 5%까지 확보토록 하는 등 보안강화를 위한 권고안을 내놨다.
하지만 카드사들은 아직 별다른 움직임이 없다. 이를 강제할 수 있는 장치가 마련돼 있지 않기 때문이다. 카드업계에서는 대규모 사업비를 지출할 필요성이 있겠냐는 인식이 깔려있다. 이성헌 한나라당 의원에 따르면 지난해 신용카드사의 IT 관련 예산 중 보안에 투입한 비중은 3.6%에 불과한 것으로 나타났다.

◇마케팅 비용만 연간 4조원…‘보안투자는 글쎄’

카드사를 비롯한 금융업계는 차세대시스템이라는 명칭 아래 새로운 시스템 도입을 골자로 하는 IT분야 개선 계획들을 내놓고는 있지만 이는 대부분 영업지원과 내부시스템 개선이 대부분이며 보안에 대한 부분은 여전히 미흡한 상태다.
금감원이 국회 정무위 소속 권태기 한나라당 의원에게 제출한 ‘신용카드사 경영 현황’ 자료에 따르면, 신용카드사들은 올 상반기에만 마케팅 비용으로 2조2375억원을 지출해 연간 4조원 이상 지출할 것으로 예상된다고 나타났다. 카드발급수는 1억2231억만장으로 전년말 대비 572만장 증가해 경제활동 1인당 카드발급수는 4.8장에 달했다.
이 같은 결과에 카드사들은 외형확대에만 혈안돼 마케팅 비용에 수조원을 쏟아붓는 대신 보안시스템 개선에는 소홀히 했다는 비난을 면하기 힘들 것으로 보인다.
이에 여신금융업계 관계자는 “최근 신용카드가 제1의 화폐역할을 수행하는 등 위상이 높아지고 있으나 고객 정보보호 의식은 미흡한 게 사실”이라며 “관련법이 개정되기 전이라도 먼저 나서 보안교육과 시스템 강화에 적극 나서야 한다”고 강조했다.

◇네이트에 하나SK카드까지…‘난처한 SKT’

한편 이번 하나SK 사태에 SK텔레콤은 또 한번 곤욕을 치룰 것으로 보인다.
YTN은 하나SK카드 회원정보 유출 의혹을 받고 있는 박 모씨와 단독으로 만나 유출된 개인정보가 200여건이 아닌 5만1000건이라고 밝혔으며, 하나SK카드 회원정보가 아닌 SK텔레콤 회원정보라고 지난 20일 보도한바 있다.
YTN 보도에 따르면, 박씨는 엄청난 양의 고객 정보 중, 자신이 개인 사업을 하는데 활용할 고객들의 정보를 모았으며, 신용·체크카드 회원을 제외하고, 20살~45살의 회원과 SKT 가입 회원만 포함시키는 등 몇 가지 조건을 걸어 정보를 추출했다고 전해졌다.
문제는 박 씨가 회사를 통해 얻은 회원 정보를 손쉽게 개인적으로 저장했다는 것으로, 회원정보를 볼 수 있는 직원은 CRM(고객관계관리팀) 등 일부 부서에 국한되어 있지만 박 씨는 이러한 부서를 통해 자신이 필요한 조건에 맞게 추출된 회원정보 5만1000여 건을 사내 메일을 통해 받아 개인 컴퓨터에 저장한 것으로 전해졌다.
하나SK카드 측은 전 직원의 컴퓨터에 불필요한 고객정보가 저장돼 있는지 적발해내는 프로그램이 작동한다고 말한 바 있는데요, 박 씨는 이 프로그램을 통해 적발되더라고 그 정보를 보안 정보로 등록하거나 삭제하지 않을 수 있는 방법은 얼마든지 있다고 밝혔다.
허술한 카드사의 보안체계가 여실히 드러난 것이다.
하나SK카드는 하나금융지주와 SK텔레콤이 지난해 2월 설립한 회사로 고객정보 일부를 공유하고 있다.
SK텔레콤은 지난 7월 네이트 해킹사태에 이어 이번 하나SK카드 마저 고객정보 유출로 신용에 상당한 타격을 입을 것으로 예상된다.
카드업계에서는 임직원 고객정보 유출 사고를 줄이기 위해서는 해당 정보에 접근할 수 있는 사람을 최소화해야 한다는 목소리가 높다. 아울러 개인정보 보호와 관련된 내부 처벌규정도 강화해야 한다는 게 전문가들의 중론이다.