국민카드, 카드 없는 계열사 고객정보도 유출
금융감독원은 19일 최근 발생한 카드 3사의 개인정보 유출과 관련, 계열사의 고객 정보까지 유출된 데 대해 계열사간 정보 공유 개선 방안을 검토키로 했다.
금감원은 이날 '최근 고객정보 유출 관련 대응방안'에 대한 긴급브리핑을 갖고 "KB국민카드의 경우 (정보유출 여부) 통지대상에 자사 고객 외에 국민은행 등 계열사 고객도 다수 포함돼 있다고 밝혔다.
금감원은 "국민카드는 자사고객, 과거 자사고객, 탈회회원을 제외하고 나머지 계열사 정보는 어느 회사에서 나갔는지 등에 대한 검사가 앞으로 진행될 것"이라며 "계열사간 정보 공유 문제는 앞으로 제도개선 방안을 검토할 것"이라고 설명했다.
다음은 최종구 수석부원장 등과의 일문일답.
― 국민카드의 경우 계열사 정보까지 유출됐다
▶계열사 고객 정보가 유출된 것은 국민은행 등이 해당한다. 계열사의 정보가 카드사에 보관돼 있다가 같이 유출됐기 때문에, 카드가 없더라도 같이 유출된 것이다.
유출된 정보는 예금이나 대출같은 거래 정보가 아닌, 개인의 신용정보인 것으로 파악됐다. 카드사의 다른 개인신용정보 유출과 마찬가지로 국민은행 계열사 정보유출에 대해서도 추가 피해가 발생하지 않도록 대책을 강구하고 있다. 일반 카드사의 신용유출과 같은 차원에서 대책을 마련하고 있다.
계열사끼리 정보공유 문제에 대해 이번 대책반에서도 제도개선 방안을 검토할 것으로 알고 있다.
(류찬우 실장)국민카드는 자사고객, 과거 자사고객, 탈회회원 제외하고, 나머지 계열사는 어느 계열사에서 나갔는지, 정확하게 전부인지 이런 것에 대한 검사가 앞으로 진행될 예정이다. 확인에 시간이 좀더 필요하다. 카드사의 경우, 해지 고객에 대해 5년간 정보를 보관할 수 있도록 돼 있다. 실시 중인 검사를 통해서 혹시 5년 지난 고객 정보를 보관하고 있는 것으로 드러나면 제재조치를 취할 것이다.
― 고객들이 불안해 하고 있다. 어떻게 해야 하나.
▲카드 위변조 등을 위해 필요한 CVC값과 비밀번호는 암호화돼 따로 보관돼 있었다. 위변조 가능성은 없다. 불안한 분들은 비밀번호 바꾸거나 원할 경우 재발급 받을 수 있다. 또 무료로 카드 실시간 사용내역 알림 서비스를 제공한다. 본인이 사용하지 않은 카드 사용 건은 보상된다.
―현재까지 파악된 유출 경로는
▲3개 카드사의 정보는 일단 USB에 담긴 상태에서 1차 또는 2차 대출모집인에게 전달됐지만 대출모집인으로부터 모든 정보가 압수됐다. 추가 유통된 사실이 현재까지는 확인되지 않았다. 16개 금융회사도 구속된 관련자 이외에는 다 압수가 된 상태다. 본인이 여러 경로를 통해 수집한 정보를 담았을 수도 있고, 일부 금융회사에서 수집한 정보도 있을 수가 있는데 최종적으로USB에 담긴 상태로 압수됐기 때문에 추가 유통은 없었을 것이다.
독자들의 PICK!
―카드번호와 유효기간도 일부 공개됐다. 번호와 유효기간만으로 발생할 수 있는 피해와 대책은
▲ 대량으로 카드번호와 유효기간이 유출된 적은 그동안 없었다. 이번이 처음이다.
(김영기 국장)추가적인 본인인증 절차 없이 일어나는 거래가 있을 수 있다. 이 경우에는 물건을 주문한 사람에게 배달하는 과정에서 거래가 확인된다. 거래 승인이 되는 경우 문자메시지도 간다. 따라서 발생할 수 있는 개연성은 있지만 가능성은 크지 않다. 발생하더라도 보상은 된다.
―해외사이트 결제가 더 위험하다. 공인인증서 없이도 결제 가능하다. 실시간 승인도 안나고 CVC번호 없어도 되는 경우가 많다.
▶ 해외사이트는 카드와 유효기간만으로도 결제가 되는 경우가 많다. 하지만 결국 승인이 이뤄지는 시점에서 고객에게 문자가 간다. 부정사용을 인지할 수 있어 체크가 된다. 정보가 유출된지 상당한 시일이 흘렀지만 지금까지 의미있게 부정사용이 증가한 정황은 없다.
―유출된 고객의 인원수는
▶USB에 담긴 1억580만명이 유출됐다. 카드사별로 롯데와 농협은 약 2000만명씩, 국민카드는 약 4000만명이다. 중복 빼면 최소 4000만명의 정보가 유출됐다.
―롯데카드는 전체 카드 회원 수에 비해서 유출 건수가 2배 정도가 된다. 롯데멤버스 정보도 유출됐나.
▶카드사별로 탈회회원, 사망자회원, 가맹점의 정보까지 등등 포함하다 보니 실제 카드사의 회원수와 유출된 정보수가 차이가 난다. 롯데의 경우는 확인하고 있다. 세부적인 사항은 검사 중이다.
―국민카드는 타사카드의 거래내역까지 유출됐다. 어떻게 다른 카드 사용내역까지 알고 있었나.
▶(김영기)카드사가 거래하는 시스템이 자사 고객말고 타사 카드고객의 정보를 공유하는 경우가 있다.
(류찬우)자기네 회원 중에서 타사 카드를 보유하고 있는 경우 신용도 조사 위해 여전협회 통해서 전달받는다.
―불안감을 이용해서 보이스피싱을 할 수도 있다. 이런 경우는 구제가 되나.
▶이번 건으로 인해 보이승피싱 등 새로운 유형의 사기가 기승을 부릴 수가 있다고 생각한다. 카드사에서 홈페이지에서도 게시하고 있고, 금감원에서도 소비자 경보를 발령하든지 하는 후속대책을 준비하고 있다.
―본인확인 초기에 국민카드 홈페이지 등에서 아무나 유출 여부를 확인할 수 있었다. 개인정보 유출을 확인하는 과정에서도 개인정보를 제대로 보호 안했다는 지적이 나온다
▶수많은 고객 정보가 유출됨으로써 불안해하는 현실을 반영했다. 개인정보동의절차를 밟기에는 시간이 너무 걸리기 때문에, 빨리 하도록 홈페이지에서 본인이 스스로 확인하자는 취지로 시스템을 구축했다. 검사반을 파견해서 바로 사실관계를 확인하고 있다.
