카드3사 고객정보 유출 어떻게...금감원 "규정만 지켜도 일어나지 않을 인재"

입력 2014-02-13 15:17

  • 작게보기

  • 기본크기

  • 크게보기

금융감독원은 최근 대규모 정보유출이 일어난 KB국민카드, NH농협카드, 롯데카드 등 카드 3사는 고객 개인정보 등 실데이터를 암호화하지도 않았고, 용역 직원의 PC 접근을 막는 보안프로그램도 설치하지 않았다고 밝혔다. 규정만 잘 지켰다면 일어나지 않을 수 있었던‘인재(人災)’라는 것이다.

금감원은 13일 국회에서 열린 개인정보 유출 관련 국정조사 기관보고에서 이 같이 밝혔다. 금감원은 지난달 13일부터 현재까지 KB국민카드, NH농협카드, 롯데카드 3개 카드사 및 KCB에 대해 현장검사를 실시하고 있다.

이번 사고는 신용정보업체 코리아크레딧뷰로(KCB)의 한 직원이 카드 부정사용방지시스템(FDS) 개선 작업의 용도로 받은 개인정보 실데이터를 보안프로그램이 설치되지 않은 PC를 통해 USB로 절취하면서 발생했다.

사고 발생 시점은 국민카드가 지난해 6월, 농협카드는 2012년 10월과 12월, 롯데카드가 지난해 12월이었다. 전자금융감독규정은 금융사에 대해 전산프로그램 테스트를 할 때에는 실데이터의 사용을 금지하고 이를 변환해 사용하도록 규정하고 있으나 이들 카드사는 실제 개인정보를 변환 없이 용역회사 직원에게 제공했다.

또 용역직원이 보조기억매체(USB) 등으로 PC에 접근하는 것을 통제하는 USB 통제프로그램을 설치해야 했음에도 불구하고 이를 지키지 않았다.

개인정보 유출 경로는 ‘운영 서버→내부직원 PC 또는 개발 서버→USB 통제프로그램이 미설치된 KCB직원 PC→USB’로 이뤄졌다. 개인정보는 KB국민카드는 내부직원 PC, NH농협카드와 롯데카드는 개발서버에서 유출된 것으로 조사됐다.

반면 삼성카드와 신한카드 등은 3개 카드사와 비슷한 시기에 같은 KCB 직원에게 전산작업 개선을 맡겼지만 실데이터를 암호화해 제공했고 UBS 통제프로그램도 설치해 정보유출을 방지할 수 있었다.

금감원은 이날 IT 보안 관련 감독 및 검사가 제도정비에 치중해 정보보호 법규 이행실태에 대한 현장감시가 미흡했다고 반성했다.

금감원은 “그동안 IT 보안 관련 감독 및 검사는 해킹 등에 의한 정보유출 예방과 내부통제규정, 정보보안절차 등 제보정비에 집중됐다”며 “금융회사의 개인정보 관리실태 및 전산 개발시 법규준수 여부 등을 수시로 현장에서 밀착 점검하는 데에는 한계가 있었다”고 설명했다.

또 금융회사 내부통제 운영 실태에 대한 관리감독상 미비한 점이 있었고 경영진에 대한 의식 제고에도 소홀했다고 밝혔다

한편 금감원에 따르면 2009년 이후 5년간 19개 금융회사에서 20건의 개인정보 유출사고가 발생해 총 1억919만건의 정보가 유출됐다. 최근 3개 카드사에서 유출된 정보 1억581건을 제외하면 338만건이다. 금감원은 이들 금융사 중 13곳에 대해 기관경고 또는 기관주의 조치했고 6개사는 과태료를 부과했다. 또 제재대상 임직원 84명 중 18명(21.4%)에 중징계를 내렸다.

최수현 금감원장은 “개인정보의 수집ㆍ보관ㆍ활용 및 폐기 등 정보관리 전반에 대한 근본적이고 확실한 대책을 마련해 추진하겠다”면서 “정보 유출 사고가 금융시장 안정과 금융산업 발전에 장애요인으로 작용하지 않도록 시장 상황을 예의주시하고 필요시 대응조치를 강구할 것”이라고 말했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소