카드사 정보유출 사태로 빠져나간 개인정보 가운데 8300만여건이 추가 유출되면서 전면 재조사가 불가피할 전망이다. 유출되지 않았다던 카드 비밀번호와 CVC정보도 추가 유출됐을 가능성까지 점쳐지고 있어 카드정보 유출사태는 새 국면을 맞고 있다.
16일 금융권에 따르면 카드사 정보유출 사태로 빠져나간 개인정보 가운데 8300만여건이 대출 중개업자에게 흘러들어간 것으로 확인됐다. 2차 피해는 없다던 카드사 고객정보 일부가 시중에 유통된 정황이 나와 후폭풍이 거세다. 진정국면으로 접어들었던 카드런 사태가 또다시 재연될 조짐이다.
창원지검 특수부(부장검사 변철형)는 코리아크레딧뷰로 직원이 유출한 신용카드 3사의 고객정보 일부를 받아 대출중개업에 활용한 혐의(정보통신망법·신용정보법 위반)로 이모(36)씨 등 4명을 구속 기소했다. 신용카드사 고객정보 유출로 인한 구속자는 모두 6명으로 늘었다.
검찰은 지난 1월 8일 코리아크레딧뷰로 직원 박모(39)씨와 광고대행업체 대표 조모(36)씨를 구속 기소했다. 검찰은 조씨의 가족 등이 운영 중인 7개 업체 가운데 4곳이 대출중개업인 점을 확인하고, 이들 업체에 개인정보가 넘어갔을 가능성에 대해 수사를 벌인 결과 추가 유출 사실을 확인했다고 밝혔다.
당초 검찰은 이씨가 조씨로부터 100만건의 개인정보를 받은 것으로 파악했다. 그러나 조사 결과 이씨는 2012년 8월부터 1년간 다섯 차례에 걸쳐 7300만원을 주고 NH농협카드 2430만명, KB국민카드 5370만명의 개인정보를 받은 사실이 드러났다.
검찰은 브리핑을 통해 “이들이 대출 등 영업 목적으로 개인정보를 사용해 외부로 유출되지는 않았다”며 “보이스피싱 등 다른 범죄에 이용됐을 가능성은 낮은 것으로 보인다”고 말했다. 또 “유출된 개인정보에는 비밀번호와 CVC번호 등이 없어 신용카드 위조가 불가능하다”고 덧붙였다.
하지만 수천만건의 개인정보가 또 다시 2차 유통된 점, 오래 전부터 팔려나간 점에 비춰 새어나간 정보는 8300만건 이상이 될 수도 있다.
정치권, 시민단체 등을 중심으로 금융감독당국의 책임론이 대두되고 있다.
김기식 민주당 의원은 “신제윤 위원장과 최수현 원장은 섣불리 추가 유출은 없다고 단언했다”며 “수장들이 진상규명과 책임있는 사건 수습에 나서지 않고 사건무마에만 급급했다”며 지적했다.
금융소비자원도 “그간 2차 피해는 없다고 장담하던 주장이 허구였음이 드러났다”며 “전반적 정보유출의 종합적 재조사와 관련자 문책이 필요하다”고 주장했다.
[뉴스해설]슈퍼ID로 고객 정보 모두 털어가…비번·CVC 추가유출 재조사 필요
카드 고객정보 8000만건 이상이 2차 유통되면서 구속된 협력업체 직원이 비밀번호와 인증코드(CVC) 등 핵심 정보에 접근했을 가능성이 크다.
해당카드사가 모든 서버 파티션에 접근 가능한 ‘슈퍼ID’를 준 것으로 알려져 과연 어떤 정보까지 추가 유출된 것인지 꼼꼼히 다시 들여봐야 한다는 목소리가 높다.
앞서 검찰은 당초 조씨가 이씨에게 100만건의 개인정보를 받은 것으로 파악됐다며 모든 자료를 압수해 추가유출은 차단됐다고 밝힌 바 있다. 금융당국 역시 검찰의 발표를 근거로 “추가 유출은 없다”고 재차 강조했다. 그러나 추가 유출 정황이 포착되면서 검찰과 금융당국은 곤란한 처지에 빠지게 됐다.
비밀번호와 인증코드는 암호화돼 유출되지 않았다고 했지만 보안 협력업계의 말을 빌리면 충분히 비밀번호와 CVC정보도 손에 넣을 수 있다. 1차 유출 때 외부로 나간 정보에 카드번호와 유효기간이 포함된 점도 이를 뒷바침한다.
보안업계에 따르면 카드사는 통상 카드번호, 유효기간, 비밀번호, CVC 등을 하나의 저장소(테이블)에 담아 놓는다. 이름, 주민번호, 주소 등 개인의 신상 정보와는 별도 정리한다. 효율적인 데이터 관리를 위한 목적이다. 각각의 저장소들이 모여 하나의 데이터베이스(DB)를 이룬다.
농협카드와 롯데카드의 경우 카드번호와 유효기간이, 국민카드는 고객 개인정보가 빠져나갔다.
이는 협력업체 직원이 회원정보뿐만 아니라 카드정보가 담긴 곳에 접근해 정보를 취득했다는 뜻이다. 비밀번호 및 CVC에 대한 접근 권한도 가지고 있었다는 걸 시사한다. 또 이번 2차 유출 사건에 별도의 ‘브로커’가 존재한다는 주장도 나와 개인정보가 오래 전부터 거래되고 있음을 시사한다.
과거 카드사 외주 용역을 맡았던 보안업계 관계자는 “구속된 협력업체 직원과 구매업자 간 아무런 일면식이 없다”며 “중간 브로커로 밴업무를 담당했던 A사 임원이 연루도 됐다는 소문이 확산되고 있다”고 설명했다.
이번 고객정보 2차 유출 사고에서도 협력업체 직원이 과연 어떤 수준의 데이터까지 접근할 수 있었느냐는 쟁점 대상이 아니다. 운용상의 문제로 암호화를 해제하거나 적용하지 않는 경우가 있어 이 부분에 대한 수사 기관과 금융당국의 면밀한 조사가 불가피해졌다.
길재식기자 osolgil@etnews.com
