[쿠키 경제] 우리나라 경제활동인구 대부분의 신상정보가 털렸다. 유출된 개인정보에는 여권번호와 대출 내역 등 민감한 정보도 포함돼 있어 보이스피싱과 스미싱의 2차 피해 우려도 커지고 있다.
금융감독원은 19일 오후 긴급 브리핑을 열고 “KB국민·NH농협·롯데카드에서 빼돌린 USB메모리에 정보가 담긴 고객 수는 약 1억580만명에 이른다”며 “중복된 사람과 기업·가맹점·사망자를 제외하면 카드사별로 약 2000만건”이라고 밝혔다. 금감원은 이어 “KB국민카드가 약 4000만건으로 가장 많다”며 “국민카드는 자사 고객 외에 KB국민은행 등 계열사 고객까지 다수 포함돼 있다”고 밝혔다. 금감원 고위 관계자는 “사실상 전 국민의 개인정보가 빠져나간 셈”이라고 말했다. 금융 당국은 19일 개인정보 유출 혐의로 국민은행에 대한 긴급 현장검사에 착수했다.
농협카드와 연계된 농협은행, 롯데카드의 결제은행까지 고객 정보가 유출됐다. 신한은행 하나은행 우리은행 등 사실상 국내 모든 은행의 고객 정보가 외부에 노출된 셈이다. 국민카드와 롯데카드는 지난 17일 오후부터 정보유출 본인 확인 서비스를 시작했는데, 자신이 이용하는 은행의 개인정보가 모두 빠져나갔다며 항의하는 피해자가 속출하고 있다.
지난 8일 창원지검은 신용정보회사 코리아크레딧뷰로(KCB) 직원이 국민·농협·롯데카드에서 총 1억400만건의 개인정보를 외부로 유출했다고 밝혔다.
카드사에서 빠져나간 개인정보는 방대했다. 이름과 주민등록번호, 전화번호, 주소 등 기본적인 정보 외에 카드번호와 카드 유효기간, 결제계좌, 타사카드 정보 등 ‘개인 신용정보’도 대거 유출됐다. 이뿐 아니라 연봉, 결혼여부, 자동차 소유 여부 등도 외부에 유출됐다.
정보유출 피해는 금융 당국 수장들은 물론 금융그룹 및 대기업 총수 등도 예외가 아니었다.
금감원은 16개 금융기관 가운데 정보 유출이 확인된 금융회사는 씨티은행(3만4000건), SC은행(10만3000건)으로 나머지 14개 금융회사는 현재 대출모집인이 USB에 수록해 보관하고 있는 개인정보가 유출됐는지 확인 중이라고 밝혔다.
금감원은 카드 3사의 개인정보는 원본 파일과 복사 파일을 모두 압수해 2차 유통에 따른 피해 가능성은 없는 것으로 확인됐다고 말했다. 그러나 고객에 대한 정보유출 사실 통지 과정에서 고객들의 불안심리를 이용해 금융 당국과 금융회사를 사칭한 보이스피싱, 스미싱 등의 피해가 생길 것으로 우려했다.
금감원은 고객정보 유출이 확인된 카드 3사로 하여금 일반 콜센터를 24시간 가동토록 했다. 개인정보 유출로 불안해하는 고객에 대해서는 본인 희망 시 신용카드를 즉시 재발급토록 했다. 》관련기사 2·3면
국민일보 쿠키뉴스 진삼열 기자 samuel@kmib.co.kr
[카드사 정보유출 사태] 3개사서 1억580만건… 비밀번호 빼고 다 빼갔다
3개 카드사의 고객정보 유출 사건의 파장이 점차 커지고 있다. 1억580만건이라는 피해 규모도 사상 최대지만 여권번호·연봉·결혼여부 등과 같은 세밀한 개인정보부터 실제 카드 사용에 이용될 수 있는 카드번호와 유효기간까지 유출된 것으로 나타났기 때문이다. KB국민카드의 경우 국민은행 등 KB금융지주 계열사들의 고객정보도 함께 유출된 것으로 확인됐다. 시중은행의 고객정보도 안전하지 않은 것이다.
◇카드 유효기간·결제계좌·개인신상 다 털려=19일 금융감독원에 따르면 이번 카드 유출 사고의 피해 고객 수는 NH농협카드와 롯데카드 각각 2000만명, KB국민카드 4000만명으로 파악됐다. 이 중 중복되는 고객과 죽거나 해지했는데도 고객정보가 폐기되지 않은 경우 등을 감안해도 1500만명 정도의 고객정보가 유출됐을 것이라는 게 업계 분석이다. 정보 유출 피해자 명단에는 대통령부터 거의 모든 부처 장차관, 기업 최고경영자, 국회의원, 연예인 등이 포함된 것으로 알려졌다. 금융권을 관리·감독하는 신제윤 위원장과 최수현 원장도 피해자 신세를 면치 못했다. 국민카드 사장 등 이번 정보 유출 관련 카드사 최고경영자들과 4대 금융 등 경영진의 개인정보도 빠져나간 것으로 추정됐다. 앞서 벌어진 한국SC은행과 씨티은행 정보유출 사고로 유출된 고객 정보도 11만명에 달한다.
특히 이번에 유출된 개인 신상정보의 양은 상상을 초월한다. 카드 가입 시 입력한 정보량에 따라 개인 차가 있지만 이름, 휴대전화 번호, 직장 전화번호, 자택 전화번호, 주민번호, 직장주소, 자택주소, 직장정보, 이용실적 금액, 결제계좌, 결제일, 신용한도 금액, 결혼 여부, 자가용 보유 여부, 신용등급 등 최대 19개 항목에 달했다.
특히 롯데카드와 농협카드의 경우 카드번호와 함께 카드 유효기간까지 유출된 것으로 확인돼 상대적으로 본인확인 절차가 열악한 영세사업장이나 해외쇼핑 사이트에서 피해가 발생할 가능성이 있다.
카드를 해지했거나 만들지도 않았는데 정보가 유출된 경우도 있다. 이 경우 본인 정보의 유출 여부를 모르고 지나칠 수도 있다. 박세춘 금감원 부원장보는 “카드를 해지해도 보통 5년 정도는 향후 분쟁 등에 대비해 카드사가 고객 정보를 보유할 수 있도록 돼 있다”면서 “다만 별도 보관했어야 하는데 이를 지키지 않은 경우는 제제 대상이 될 수 있다”고 밝혔다.
◇계열사 은행 고객 정보까지 유출, 불안 확산=게다가 이미 알려진 3개 카드사 외에 시중은행 고객정보까지 유출된 것이 확인됐다. 금감원은 이날 개인정보 유출 혐의로 국민은행에 대한 긴급 현장검사에 착수했다. KB국민카드와 롯데카드, 농협카드에서 고객정보가 유출되는 과정에서 국민은행 등 KB금융지주 계열사 정보도 함께 유출된 것으로 파악됐기 때문이다. 박 부원장보는 “금융지주 계열사 간 고객정보를 공유하는 경우가 있어서 생긴 일로 보인다”면서 “다만 국민은행의 유출된 정보가 예금이나 대출 등 구체적인 거래 정보가 아닌 개인의 신용정보만 유출된 것으로 파악된다”고 밝혔다. 그러나 금융지주 계열사 간 고객정보를 공유하는 것이 일반적이라는 점에서 NH농협카드 계열사인 농협은행 등의 고객정보도 유출됐을 것이라는 관측이 높다. 특히 카드사의 유출된 정보 내역에는 결제계좌 정보도 있어 사실상 시중은행 고객정보도 상당수 유출된 것이나 다름없다는 지적도 나온다. 금융권 관계자는 “결제계좌가 유출됐다는 건 결제은행 정보도 노출됐다고 볼 수 있다”고 말했다.
◇모호한 2차 피해 구제 대책, 집단소송 등 예고=최종구 금감원 수석부원장은 “정보 유출 사고로 인해 고객의 금전적 피해가 발생하면 해당 카드사가 보상할 예정”이라고 밝혔다. 하지만 이는 유출된 정보를 이용해 카드 위·변조가 이뤄지는 등 직접적인 1차 피해가 일어났을 때에 한해서다. 정작 가장 우려스러운 대규모 정보유출 사고를 악용한 스미싱 등 2차 피해에 대한 대책은 거의 전무하다. 스미싱이나 보이스피싱으로 피해를 당했더라도 고객으로서는 그 정보가 이번 사건으로 인한 것인지 여부를 판단하는 게 거의 불가능하기 때문이다. 집단소송 등이 줄 이을 것이라는 게 업계 관측이다. 금감원 관계자는 “이 경우에는 신고가 들어오면 이번 정보유출 사고로 인한 것인지 등을 따져보고 기존 판례 등을 봐야 한다”면서 “피해가 구제된다고 확답할 수는 없다”고 말했다.
국민일보 쿠키뉴스 조민영 기자 mymin@kmib.co.kr
