카드정보유출, 국가가 개인정보에 관심 없다는 증거!

1월 8일. 새해벽두부터 개인정보 및 금융정보 유출 사건이 발생했습니다. (카드사 고객정보 1억건 유출 사상최대 http://news.donga.com/Main/3/all/20140109/60054498/1# )

 

 

 

1억건이라는 숫자도 충격적이지만, 금융사 보안을 담당하는 직원이 의도적으로 범행을 저질렀다는 점도 충격으로 다가왔습니다. 그런데 기사를 가만히 보면 어이없는 부분이 있습니다. 금융사에 직원을 파견한 신용정보사인 KCB의 고객사는 국민카드, 롯데카드, NH농협카드, 신한카드, 삼성카드 총 5 곳입니다. 그 중 비용을 많이 내서 사용 기록이 암호화된 신한카드, 삼성카드는 피해를 입지 않고 나머지 3개사는 암호화 되지 않아서 피해를 입었다는 것 입니다.

 

결국 이번 사건도 금융사들의 안일한 인식때문이라고 판단할 수 있을 것 같습니다. 지난 2011년 농협 전산망이 마비된 적이 있습니다. 농어촌 곳곳까지 지점이 있는 농협의 전산망이 마비가 되서 큰 혼란이 생겼었습니다. 당시 농협 전산망이 공격 받았던 이유는 보안협력업체 직원의 USB가 악성코드에 감염되었고 이 악성코드가 농협 전상망으로 확산되었기 때문이라고 결론났었습니다.

 

당시 사건을 겪고 난 뒤 각 금융사들은 보안을 강화하겠다고 밝혔습니다만, 결국은 보안을 담당하는 부서, 직원을 내부에 두기보단 외주를 주는 방식을 선택했던 것 입니다. 내부 직원이라고 이번과 같은 범죄를 저지르지 않을거라 생각하진 않습니다. 다만 금융사의 직접 관리를 받지 않는 외주 업체의 직원보단 그 확률이 적다고 생각합니다.

또한 금융사의 보안 외주를 맡는 신용정보사도 집고 넘어가야 할 것 같습니다. 이 신용정보사들의 사업은 신용정보 관리, 금융사 보안, 개인보안 등 민감한 사항을 다루고 있습니다. 특히 제가 우려하는 부분은 한국인터넷진흥원이 진행하는 ‘i-PIN’에도 참여하고 있다는 점입니다.

 

 

옥션, 네이트, 게임사이트 등 개인정보(주민번호) 유출 사건이 늘어남에 따라 국가 정책적으로 개별 사이트에서 주민번호 수집을 제한시키고, 대신 ‘i-PIN’을 도입하기로 하였습니다. ‘i-PIN’ 도입으로 개별 사이트가 개인정보 수집하는 사례가 줄어들었습니다만, 결국 ‘i-PIN’ 가입을 위해 신용정보사에 개인정보를 입력해야만 합니다. 신용정보사가 막대한 개인정보를 수집하게 되었다는 것이죠.

 

이 ‘i-PIN’에는 이번에 문제가 된 KCB를 비롯하여 민간 3개사가 참여하고 있습니다. 발생하면 안 되겠지만, 이번 사건과 같이 의도적으로 접근하여 범죄를 저지를 경우 큰 혼란이 발생할 것 입니다.

그동안 우리나라는 IT 강국을 외치며 인터넷 속도, 사용 인구수 와 같은 인프라 경쟁을 주 목적으로 하였습니다. 하지만 이번 사건과 같이 민감한 개인정보, 보안과 같은 문제가 해결되지 않는 이상, IT 분야의 성장을 더딜수 밖에 없을 것 입니다.