상당수 은행·카드, 비밀정보 등 민감정보도 관리 `소홀`…정보 유출 `화` 불렀다

상당수 은행과 카드 등 금융사가 외부 유출시 2차 피해가 큰 비밀번호와 인증코드(CVC) 등 민감한 고객정보에 대해서도 관리가 소홀했던 것으로 나타났다. 민감한 고객정보는 일반 고객정보와 별도로 분리, 철저한 보안체계를 갖춰 관리돼야 하는데 일반 고객정보와 뒤섞여 관리가 이뤄진 것으로 추정된다. 개발편리성을 이유로 외주 개발자 PC에 민감한 고객정보를 저장하는 경우도 종종 있었던 것으로 파악됐다.

카드사 데이터베이스(DB)개인정보 테이블회원 일련 번호, 성명, 주민번호, 주소 등카드정보테이블카드번호, 유효기간, CVC, 비밀번호 등정보유출
카드사 데이터베이스(DB)개인정보 테이블회원 일련 번호, 성명, 주민번호, 주소 등카드정보테이블카드번호, 유효기간, CVC, 비밀번호 등정보유출

27일 금융권에 따르면, 최근 고객정보가 유출된 은행·카드 등 금융사들은 카드번호·유효기간·비밀번호·CVC번호 등 민감한 고객정보를 분리, 보관하지 않았다. 일부 금융사는 민감한 고객정보를 분리, 별도로 보관했으나 암호화 등 보안장치가 전혀 이뤄지지 않은 상태에서 관리됐다.

주민등록번호·거래내역 등 일반 고객정보와 카드번호·유효기간 등 민감한 고객정보가 함께 유출된 NH농협카드와 롯데카드가 대표적 사례다. 통상적으로 고객정보 관리 수칙에 따라 일반 고객정보와 민감 고객정보는 별도 관리되기 때문에 같이 유출되기는 어렵다.

금융사 보안담당자는 “일반 고객정보와 민감 고객정보가 동시에 유출된 사례는 드물다”며 “동시 유출됐다는 것은 각각의 고객정보를 분리, 각기 다른 암호화 체계를 적용해 관리하지 않았기 때문”이라고 지적했다.

민감한 고객정보 접근에 대한 관리체계도 일반 고객정보와 동일하게 적용했다. 고객정보 유출 발단이 된 코리아크레딧뷰로(KCB)의 외주 개발자가 비밀번호 등 매우 민감한 고객정보까지 접근할 수 있었던 것도 이러한 배경 때문이다.

KCB의 외주 개발자가 사기방지시스템(FDS) 아웃소싱 업무를 수행하는 데 카드 유효기간 등 민감정보는 필요 없음에도 불구하고 이에 접근할 수 있도록 허용해 줬다.

전 시중은행 최고정보책임자(CIO)는 “장애시 긴급 복구를 위해 외주 담당자에게 고객 정보를 PC에 저장하도록 하는 경우가 종종 있다”며 “장애로 고객 불편이 커지는 것에 대해 여론의 뭇매를 맞기 시작하면서 보안이 허술해진 면이 있다”고 설명했다.

이처럼 무책임한 고객 정보관리로 2차 피해를 일으킬 수 있는 비밀번호와 CVC 정보가 유출됐을 가능성이 제기됐다. 협력 업체 직원이 회원 정보뿐만 아니라 카드 정보가 모두 담긴 저장소에 접근해 정보를 취득한 만큼 비밀번호와 CVC도 함께 가져갔거나 선택적으로 빼내갔을 것이라는 뜻이다. 정보 유출 사건이 발생한 카드사에서 데이터 관리 업무를 담당한 김모씨는 “카드정보 테이블에는 회원일련번호, 카드번호, 유효기간, CVC가 들어 있었다”고 전했다. 하지만 “비밀번호 포함 여부는 불명확하다”고 말했다.

금융당국은 비밀번호와 CVC의 경우 암호화로 유출은 없었다고 설명하고 실제 비밀번호와 CVC는 암호화를 한다는 것이 DB 업계의 공통된 의견이다. 하지만 운용상 필요에 따라 암호화를 해제하거나 적용하지 않는 경우가 있어 암호화 여부가 큰 의미가 없을 수 있다.

정보 유출 기간도 향후 여파에 영향을 미칠 전망이다. 정보를 빼내간 직원이 한번에 판매하는 방식이 아닌 월 수령액 형태로 DB기업들에 돈을 받아왔다는 정황이 포착됐다. 유출된 정보가 오랜 기간 동안 수차례 외부에 판매됐다는 뜻이다. 따라서 이번 정보 유출이 당초 예상보다 더 큰 파장을 불러일으킬 수 있어 당국의 시급한 대응이 필요한 상황이다.

전문가들은 외주 개발이 불가피한 상황에서 협력 업체에 의한 정보유출 문제를 차단하기 위해서는 철저한 통제 환경을 갖춰야 한다고 강조했다. 프로그램이나 시스템 개발을 위해 데이터 제공이 불가피할 경우 정보를 마스킹 처리하거나 원본을 제공하더라도 감시 하에 유출 가능성을 완벽히 차단한 상태에서 이뤄져야 한다는 지적이다.

또, 정보가 유출돼도 아예 사용을 못하도록 선별적 암호화가 아닌 전체 암호화하고, 망 분리를 통해 용역 작업을 정보가 차단된 단말기나 유출 흔적(USB나 노트북을 통한 정보 보관)을 조기 발견할 수 있는 인프라를 갖춰야 제3의 피해를 막을 수 있다고 주장했다.

길재식기자 osolgil@etnews.com, 신혜권기자 hkshin@etnews.com, 윤건일기자 benyun@etnews.com