a
▲ 국민은행 개인정보 유출 확인 홈페이지에서 주민등록번호를 입력한 후 뜬 메시지. '주민등록번호 오류입니다' 메시지가 선명하다. 사정을 알아보려고 콜센터에 수차례 전화를 했는데도 통화가 잘 안 된다. 불안하기만 하다. ⓒ 정은균
성명, 주민등록번호, 카드번호, 카드 유효기간, 이메일, 휴대전화, 직장전화, 자택전화, 직장주소, 자택주소, 직장정보, 주거 상황, 결제계좌 번호, 결제일, 경제정보, 주거 상황, 신용한도, 이용실적 금액, 연소득 등등.
이번에 유출된 국민·롯데·농협 카드 회원들의 개인정보들이다. 언론 보도에 의하면, 유출된 개인정보가 최대 20가지에 이르는 사람도 있다고 한다. 신분 복제까지 이뤄질 정도의 유출이라고 하니 사태의 심각성이 얼마나 큰지 감을 잡을 수 없다.
이번에 세 카드회사에서 유출된 개인정보는 1억 400만 건 정도라고 한다. 중복 인원을 제외하면 1500만 명에 달한다. 우리나라 전체 카드 이용자 수 2000만 명의 70%가 넘는 수치다. 경제활동을 하는 국민들, 거의 모두의 개인정보가 털린 것과 마찬가지인 셈이다.
경제활동 하는 국민들, 거의 모두의 개인정보가 털린 것
이번 정보 유출 과정에서는 시중은행의 고객 정보도 대량으로 빠져나갔다고 한다. 그동안 시중은행은 개인정보 유출의 위험으로부터 상대적으로 안전하다는 평가를 받아왔다. 이번 사건이 심각하게 받아들여지는 이유다. 금융 당국에서는 국민·농협카드와 연계된 국민·농협은행뿐만 아니라, 롯데카드의 결제은행들인 신한·하나·우리은행 등 국내 모든 시중 은행들의 개인정보가 노출되었다고 보고 있다. 금융감독원(금감원) 발표에 따르면 시중 은행의 개인정보 유출 피해자는 24만 명 정도라고 한다.
왜 이런 일이 되풀이되는 걸까. 통상 개인정보 유출로 해당 금융 기관을 실질적으로 처벌할 수 있는 수단은 없다. 지금 1억 건이 넘는 개인정보가 유출된 대가로 카드 3사가 받고 있는 '고난'은 고작 금융감독원의 '특별검사'뿐이다. '특별' 검사라고 해서 금융 기관이 무슨 '특별한' 처벌을 받을 가능성도 커 보이지 않는다. 금융 기관들이 아우성치는 피해 당자사들을 향해 개인정보 유출로 인한 2차 피해가 발생해야 피해보상을 할 수 있다며 오히려 큰소리를 치는 배경도 이런 데 있지 않을까.
개인정보 유출 사고가 끊이지 않는 데는 좀 더 근본적인 다른 이유도 있다. 눈독을 들이는 개인정보는 간단한 해킹 기술만으로도 쉽게 빼내 올 수 있다. 여기에는 다양한 개인정보에 접근할 수 있는 '허브' 정보인 주민등록번호가 너무나도 일상적으로 활용되고 허술하게 관리되는 현실이 배경으로 자리잡고 있다.
주민등록번호의 대량 유출 사고는 너무 흔해 이젠 별다른 충격도 주지 않는 것 같다. 2009년 2월 5일, 온라인 오픈마켓사이트 옥션 사용자 1081만 명의 개인정보와 100만 명의 계좌번호가 유출되었다. 이 사건은 정보보호업계와 해커들 사이에서 한국인들의 주민등록번호가 대규모로 유통되는 결정적인 사건으로 받아들여지고 있다고 한다.
2011년 7월에는 네이트닷컴과 싸이월드 등에 대한 해킹으로 3500만 명의 주민등록번호가 유출되었다. 2011년 11월에는 국내 최대 온라인 게임업체 온라인게임 메이플스토리 계정이 해킹당해 1320만 명의 개인정보가 외부로 빠져나갔다. 중복을 고려하지 않고 지금까지 유출된 주민등록번호 숫자를 단순하게 합해 보면 9000만 명에 달한다고 한다. 신생아나 영아를 제외하면 전 국민이 2번씩 털린 셈이다.
그런데도 주민등록번호는 여전히 개인 인증의 출발점으로 수없이 무차별적으로 집적되고 있다. 인터넷 사이트 가입 시 주민등록번호 입력과 실명 확인은 의무 사항이다. 휴대전화를 구입해 이동통신 서비스에 가입하는 데도 주민등록번호 기록은 기본이다. 신용카드 발급, 은행계좌 개설, 보험 가입, 증권투자 등 금융 거래에서도 주민등록번호는 꼭 필요하다.
국민은행의 개인정보 유출 여부 확인 사이트에 들어갔다. 수 년 전에 카드를 없애기는 했지만, 그 결제 계좌가 여전히 살아 있기 때문이다. 컴퓨터 확인 창을 열어 보았다. 인증방법을 선택하게 한 후 성명과 주민등록번호를 입력하도록 되어 있다. 그런데 주민등록번호를 입력해도 '주민등록번호 오류입니다' 메시지만 계속 뜬다. 콜센터(1899-2900)에 수차례 전화를 해도 통화중 안내만 나온다.
별의별 생각이... 멀쩡한 내 주민등록번호가 왜 '오류'라는 걸까
별의별 생각이 다 든다. 멀쩡한 내 주민등록번호가 왜 '오류'라는 걸까. 혹시 그 사이에 내 주민등록번호가 알지 못할 어떤 어두운 경로로 유출되어 말소되어 버린 건 아닐까. 개인정보의 '허브'인 주민등록번호와 성명, 휴대전화 번호 등을 다시 입력하고 나면, 나중에 그렇게 집적된 정보들은 어떻게 처리되는 걸까.
인터넷을 이용해 금융 거래를 하는 이용자들은 유료 공인인증서를 구입해 쓰고, 복잡하기만 한 액티브(Active)X를 까는 수고를 마다하지 않는다. 그렇게 하면 보안과 비밀 유지를 할 수 있다고 하니 귀찮지만, 어지간하면 다들 그렇게 수고를 아끼지 않는다.
그런데 무조건적으로 주민등록번호를 받아 집적하는 금융 기관들은 이들 이용자들만큼의 노력을 과연 기울이기는 하는 걸까. 수백만, 수천만 건의 개인정보가 순식간에 해킹으로 뚫리는 걸 보면 보안 시스템 자체에 문제가 많은 것 같다. 예산이라도 많이 투입해 보안 시스템을 강화하거나 관련 인력을 보강하면 좋으련만 그런 소식은 거의 들려오지 않는다.
'금융기관 정보보호(보안) 예산 가이드라인'이라는 게 있다. 금융당국이 금융기관의 보안 강화를 위해 제시한, 정보기술(IT)예산 대비 정보보호 예산 비중 기준을 말한다. 그런데 작년 4월 2일 자 <한겨레> 보도(관련 기사: 금융기관 정보보안 예산 가이드라인 1년도 안돼 실효 논란)에 따르면, 금융당국이 제시한 가이드라인이 국내은행 대부분이 이미 충족하고 있는 낮은 기준이어서 실효성 논란을 불러오고 있다.
금융당국이 제시한 가이드라인은 7%였다. 이 기준을 넘지 못하는 금융기관은 미달 내역과 원인을 별도로 공시해야 한다고 한다. 그렇게 해서 금융기관에 어떤 제재 효과를 줄 수 있을까. 자세히 뜯어보지 않아도 '금융기관 정보보호(보안) 예산 가이드라인'이 형식적으로 운용되고 있을 것으로 짐작되는 이유다. 가이드라인 제도가 시행된 지 1년도 채 안 돼 실효성 논란에 휩싸이게 된 까닭도 이런 배경에서일 것이다.
이번에 개인정보가 유출된 농협카드의 자회사 농협은행은 2012년 IT 예산 내에서 정보보호 예산 비중이 28.6%로 압도적인 1위를 차지했다. 2위인 수출입은행(12.8%)과 3위인 씨티은행(12.4%)의 두 배를 훨씬 넘는 수치였다. 그런데도 농협카드에서 이번에 2000만 건의 개인정보가 유출되었다. 개인정보 보호에서 보안 예산이 전부가 아니라는 사실을 방증하는 사례가 아닐까.
"개인정보 유출사고가 반복될 경우 그런 금융회사는 더 이상 시장에서 살아남기 어렵다는 위기감을 가져야 한다."
지난 16일 오전, 최수현 금감원장이 서울 종로구 국민카드를 방문한 자리에서 고객정보 유출과 관련해 보낸 경고라고 한다. 금융회사에게 "살아남기 어렵다는 위기감"을 주기 위해 최 금감원장이 생각하고 있는 조치가 있기는 한 걸까.
이번 기회에 개인정보가 유출된 금융기관에 법적 책임을 묻는 제도를 속히 마련해야 한다고 본다. 개인정보 유출로 인해 느끼는 극심한 불안감 자체가 이미 '2차 피해' 아닌가. 그런데도 정보가 유출된 기관에서는 '2차 피해가 발생하면 보상' 운운하는 말만 되풀이한다. 분통이 터지지 않을 수 없는 노릇이다.
개인정보보호 부서의 예산과 인력을 좀 더 확충하고, 사후 연수와 교육을 통해 직원들의 보안의식을 강화하는 일도 필요하다. 정보보호 예산의 적정선이 절대적으로 정해져 있지는 않을 것이다. 하지만 현재의 가이드라인만으로는 만족할 만한 성과를 낼 수 없다는 게 분명하다. 위에서 본 것처럼 이미 실효성 논란에 휩싸였기 때문이다. 해킹과 같은 사이버 공격 외에 내·외부 관련자들의 허술한 보안 의식으로 생기는 사고의 심각성도 깨달아야 한다. 내부 보안 인력의 교육과 연수에 힘을 쏟아야 하는 이유다.
이제 개인정보 유출은 특정 금융사나 정보회사만의 문제가 아니다. 평범한 개인뿐만 아니라 금융기관을 감독하는 기관의 수장인 금감원장, 전·현직 대통령까지 유출 피해자 명단에 이름을 올리고 있다. 발빠른 누리꾼들은 이번 사고로 박근혜 대통령과 이명박 전 대통령의 민감한 개인정보까지 유출되었다며 금융기관과 당국을 향해 심각성을 경고하고 있다.
1억 건 이상의 개인정보가 유출된 '비상사태'
이들의 민감한 개인정보 유출 여부가 어떻게 이토록 쉽게 검증될 수 있었을까. 국민카드가 개인정보 유출 확인 서비스를 제공한 초기에 이름과 주민등록번호 마지막 한자리만 입력하면 누구나 정보를 볼 수 있게 한 데서 생긴 문제였다. 지금은 1억 건 이상의 개인정보가 유출된 '비상사태' 국면이다. 그런데도 주민등록번호 마지막 숫자 하나만 입력해서 각 개인을 식별하게 한 것이다. 어처구니가 없다. 은행 등 시중 금융기관들이 개인 신상정보를 얼마나 하찮게 보고 있는지를 알게 해 주는 대목이다.
이번의 개인정보 유출 사고도 마찬가지였다. 이번 사고는 보안시스템 개발 프로젝트를 맡은 외부 용역업체 직원이 저지른 것으로 알려졌다. 중요한 고객정보를 소홀히 다룬 금융기관의 개인정보보호 불감증이 부른 인재인 셈이다. 거액의 예산을 쏟아붓고 최첨단 시스템을 도입해도 정신 제대로 박힌 사람이 없으면 아무 소용 없다는 얘기다. 금융기관이나 금융당국이 사고가 터질 때마다 입으로만 내뱉는 근본적인 대책의 진짜 '근본'이 어디에 있는지를 차분히 살펴봐야 하는 이유다.
저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지
오탈자 신고
