KCB와 계약맺은 5개 카드사 중 3개 카드사만 정보유출… 암호화 작업 등 시시비비 가려질 듯
최대 1억3000만건의 카드사 고객정보 유출이라는 금융권 최악의 개인정보 유출사고가 발생했다. 이번 사고는 개인신용평가업체 직원에 의한 인재(人災)지만, 카드사들의 허술한 보안정책도 빌미를 제공했다는 평가다. 실제로 이번에 사고를 당한 카드사들은 정확한 유출건수도 파악하지 못하고 있다.
8일 금융권에 따르면 코리아크레딧뷰로(KCB)와 부정사용방지시스템(FDS) 계약을 맺은 카드사는 총 5곳이다. 이번에 고객정보가 유출된 농협카드, 롯데카드, KB국민카드 등 3곳을 비롯해 신한카드, 삼성카드다. 상대적으로 고객이 많은 신한카드와 삼성카드는 상대적으로 강력한 보안정책을 적용해 화를 면했다.
FDS는 카드의 부정사용을 방지하기 위해 도입된 시스템이다. 예를 들어 해외 출국 경험이 많지 않은 사람이 해외에서 수시로 카드를 결제하게 되면 '이상징후'로 파악해 조치를 취하게 된다. 카드사들은 이 시스템을 외주로 맡기고 있다. 이번에 정보를 빼돌린 KCB 직원은 FDS 개발 담당자였다. KCB는 FDS 분야의 선두업체이기도 하다.
FDS의 특성상 용역을 담당하는 외부직원이 카드사 내부정보에 접속할 수밖에 없다. 고객들의 이용패턴을 분석해야 하기 때문이다. 이 과정에서 카드사별로 보안정책이 제각각이었다. 사고를 면한 신한카드와 삼성카드는 고객정보에 암호화 작업을 해뒀지만, 나머지 카드사는 암호화에 상대적으로 미흡했던 것으로 드러났다.
결국 이번에 고객정보를 빼돌린 KCB 직원도 신한카드와 삼성카드의 고객정보를 확보할 수는 있었지만, 개인식별이 불가능해 '돈이 안되는' 정보였다. 신한카드는 국내 1위 카드사라는 점에서, 삼성카드의 경우 과거 정보유출 경험이 있다는 점에서 상대적으로 강력한 보안정책을 폈던 것으로 풀이된다.
특히 '물리적 보안' 부분에서도 3개 카드사는 허술함을 노출했다. 대부분의 금융사들이 현재 외부 PC의 반입 금지, USB 등 외부매체 접속 차단 등 '물리적 보안' 정책을 펴고 있다. 신한카드만 하더라도 외부 개발자의 PC의 반입을 원천적으로 차단하고 있다. 외부 직원은 신한카드에서 제공하는 PC만 사용해야 한다는 의미다.
삼성카드도 보안툴을 도입해 USB 등에 정보저장을 할 수 없게 했고, 외부 개발자가 프로젝트를 마무리하면 사용한 PC를 포맷하도록 규정한다. 외부 개발자가 사용한 PC의 외부 반출도 금지된다.
독자들의 PICK!
금융권 관계자는 "금융당국의 특별검사가 예정돼 있는 만큼 카드사들의 보안정책에 대한 점검도 이뤄질 것"이라며 "만약 사고를 당한 3개 카드사의 보안정책에 허술함이 발견된다면 이번 사고의 책임론에서도 자유롭지 못할 것"이라고 말했다.
