금융권 대규모 고객 정보유출 사건이 2014년 벽두를 강타하고 있다. 금융감독원은 19일 기자회견을 열고 이번 사건의 경위와 정보유출 현황, 고객의 피해유형 및 예상되는 파급효과, 그리고 향후대책에 대에 대해 발표했다.

 
사건 경위를 살펴보면, 지난해 12월 11일 창원지검은 씨티은행 및 SC은행에서 각각 3만4천건, 10만3천건의 고객정보가 대출모집인에게 유출된 사실을 발표했다.
 
금융감독원은 검찰로부터 고객정보 불법유출 혐의자들이 소지한 기타 금융회사 고객정보자료(USB 1개) 입수해 정밀 분류했으며 우선 정보유출 가능성이 있는 16개 금융회사에 대해 자체점검을 실시토록 지난해 12월 27일 요청한 바 있다.
 
이중 유출이 확인되어 검찰에서 관련자를 기소한 씨티은행 및 SC은행에 대해서는 특별검사를 지난 1월 17일 착수했다.
 
또 1월 8일 검찰은 KB국민카드, 롯데카드 및 NH농협카드 등 3개 카드사로부터 약 1억 4백만건의 고객정보를 불법 유출한 외부용역직원(KCB 직원)과 해당 정보를 구매한 대출광고업자 및 대출모집인을 추가로 기소했다.
 
이에 금감원은 검찰로부터 수사기록과 유출된 정보파일을 1월 10일 확보하고, 3개 카드사에 현장검사를 13일 바로 착수해 정보유출 경위 및 책임소재를 파악 중이다.
 
◇금융권 정보 유출 현황=정보 유출은 금융회사가 보관중인 고객정보를 내부인 또는 외부인에 의해 USB 등에 다운로드, 복사, 사진촬영 등의 방법으로 금융회사 외부로 반출하는 일체의 행위를 의미한다.
 
16개 금융회사의 경우, 불법유출된 것으로 의심되는 개인정보 건수는 127만 건이며, 중복을 제외한 고객수는 약 65만명 수준이다. 이중 금융회사의 고객DB에 포함된 고객수는 36만명에 달한다. 총 은행 24만명, 저축은행 2천명, 여전사 11만명으로 확인됐다.
 
USB에 수록된 정보는 성명, 전화번호, 직장명 등 단순정보이며, 예금계좌번호, 비밀번호 등 금융거래 관련 민감정보는 포함되지 않은 것으로 파악됐다고 금감원은 밝히고 있다.
 
또 개인정보 중 전화번호만 유출된 것 32만건(32.7%), 성명과 전화번호가 유출된 경우 6만건(6.2%), 성명, 전화번호와 기타정보가 함께 유출된 경우가 59만건(60.1%)으로 조사됐다.
 
고객 유형별로는 개인고객정보가 76.8%(97만 6천건), 법인고객정보가 나머지 23.2%(29만건)를 차지했다.
 
금감원 측은 “현재까지 정보유출이 확인된 금융회사는 씨티은행(3.4만건), SC은행(10.3만건)이며, 나머지 14개 금융회사는 현재 대출모집인이 USB에 수록하여 보관중인 개인정보가 금융회사로부터 유출되었는지 여부를 확인중”이라며 “USB에 수록된 정보 중 금융회사의 고객DB에 있는 정보는 절반 수준(평균 54.8%)에 불과하여 USB에 수록된 정보가 모두 금융회사로부터 유출되었는지는 불분명하다”고 밝혔다.
 
USB에 정보가 담긴 고객수는 약 1억 580만건, 이중 기업·가맹점, 사망자 등을 제외할 경우 각 사별 약 2천만건(KB카드의 경우 약 4천만건)에게 홈페이지를 통해 유출경위, 시기, 항목 등을 개별통지하고 있다.
 
KB국민카드의 경우 통지대상에 자사 고객 외에 계열사(국민은행 등) 고객도 다수 포함되어 있었다. 구체적인 통지고객수는 중복여부 확인과정을 거쳐 카드사별로 확정하여 빠른 시일내에 발표할 예정이다.
 
3개사에서 유출된 정보는 성명, 주민등록번호, 전화번호, 주소 등 ‘개인식별정보’와 카드번호 및 유효기간(KB 제외), 결제계좌, 타사카드정보(NH 제외) 등 ‘개인신용정보’로 구성되었다.
 
개별통지한 내용은 유출된 정보의 항목이며 정보의 구체적인 내역이 포함되어 있지 않은 상황이다.
 
◇고객의 피해유형 및 예상되는 파급효과=현재 검찰수사가 진행중인 상황으로 2차 유출 여부는 아직 확인되지 않았으며, 이로 인한 피해사례도 현재까지 접수되지 않았다.
 
금융당국 관계자는 “USB 수록정보는 주로 대출마케팅을 위한 것으로서 비밀번호 등이 포함되지 않아 예금인출, 카드복제 등 직접적인 피해로 이어질 개연성은 낮을 것으로 보이지만 2차 유포되었을 경우 휴대폰 정보를 이용한 대부업체 및 대출모집인의 스팸 광고 발송, 보이스피싱 등에 악용될 가능성은 배제할 수 없는 상황”이라고 우려했다.
 
즉 유출된 금융회사명, 고객명을 함께 활용해 예를 들어 “○○금융회사의 △△△ 고객님”등으로 현혹할 경우 소비자 피해가 발생할 우려가 높은 상황이다.
 
이번 사건을 수사한 창원지검에 따르면, 현재 카드사로부터 정보를 빼낸 KCB 직원과 그로부터 정보를 구입한 대출광고업자 및 대출모집인 등 관련자들로부터 원본파일과 복사파일을 모두 압수했기 때문에 2차 유통에 따른 피해 가능성은 크지 않은 것으로 확인되었다고 금융당국은 밝히고 있다.
 
또 만약의 경우 유출된 정보가 시장에 유통되더라도 신용카드 비밀번호, CVC값 및 결제계좌 비밀번호 등 중요정보는 포함되어 있지 않기 때문에 카드 위?변조 및 현금 불법인출 등 고객의 피해 가능성은 없는 것으로 보고 있다. 다시 말해 신용카드 위변조를 위해서는 중요정보인 카드번호·유효기간·CVC값이 동시에 있어야 한다는 이유다.
 
하지만 고객에 대한 정보유출사실 통지 과정에서 고객들의 불안심리를 이용한 보이스피싱, 스미싱 등의 피해를 생각하면 심각한 상황이다.
 
국민들은 공공기관, 금융감독당국 또는 금융회사 직원을 사칭해 전화로 금융정보를 탈취하려는 범죄행위에 각별한 주의를 기울여야 한다.
 
최근 '정보유출 확인 안내' 등을 내용으로 하는 문자메시지내 인터넷주소를 클릭하면 악성코드가 설치되어 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인·금융정보 탈취 등이 공공연히 이루어지고 있어 주의가 필요하다.
 
특히 각 카드사가 공지한 전화번호 이외의 번호에 의한 전화 또는 문자메시지를 받을 경우 각별한 주의가 필요하다.
 
-KB국민카드 : 1588-1688
-롯데카드 : 1588-8100
-농협은행 : 전화 또는 문자메시지를 통한 안내를 하지 않음
 
◇향후 대책=금융당국의 향후 대책은 고객 불편 최소화 및 피해구제에 초점이 맞춰져 있다. 금감원 관계자는 “고객의 정보유출이 확인된 3개 카드사의 경우 이로 인한 고객의 불편이 최소화되도록 기존의 전용상담창구 외에 일반 콜센터도 24시간 가동체제로 전환하고 개인정보 유출로 불안해 하는 고객에 대해서는 본인이 희망하는 경우 신용카드를 즉시 재발급하도록 조치했다”며 “또한 이번 정보유출 사고로 인해 고객의 금전적 피해가 발생할 경우 이를 해당 카드사가 보상할 예정”이라고 밝혔다.
 
더불어 금융회사 특별점검을 통한 철저한 진상규명을 실시할 예정이다. 금융당국 관계자는 “정보유출이 확인된 카드 3사 및 씨티?SC은행에 대해서는 현재 실시중인 현장검사를 통해 사실관계 및 책임소재를 명확히 규명중에 있으며 KB국민카드가 보유중인 계열사 고객정보 유출과 관련해 국민은행에 19일 현장검사를 착수했다”고 밝혔다.
 
또 “정보유출 가능성이 있는 14개 금융회사에 대해서는 자체 정밀점검을 실시토록 하고, 그 결과에 따라 현장검사 실시여부를 결정하고 이번 고객정보 유출사고에 관련되지 않은 여타 금융회사에 대해서도 금융감독원이 작성한 항목별 체크리스트를 토대로 자체점검을 실시할 것”이라고 강조했다.
 
마지막으로 “관계기관과 긴밀한 공조를 통해 불법정보유통시장 근절대책을 마련하겠다”며 “이번 사건은 금융사고 차원을 넘어서 근본적으로 고객정보의 불법 유통수요에 의해 발생한 중대한 범죄행위이므로 유관기관 및 수사당국과 긴밀한 공조를 통해 불법정보거래를 원천적으로 근절할 수 있는 대책을 지속적으로 강구하겠다”고 밝혔다.
 
하지만 국민들은 지금까지 뒷북치는 대책 강구만 하고 있는 금융당국에 대한 불신이 극에 달한 상황이다. 이번 사건을 계기로 근본적인 개인정보보호에 대한 금융권의 체질개선이 필요하다는 목소리가 높다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com