국민은행·국민카드, 고객 개인 정보유출 제재 확정

2016-02-13     배나은 기자
[매일일보 배나은 기자] 지난해 발생한 고객 개인정보 유출 사태와 관련해 국민카드와 국민은행에 대한 제재가 확정됐다.금융위원회는 지난 11일 정례회의를 열고 고객정보 보호대책 미비로 인한 대량 고객정보 부당 유출건 등과 그 외 고객 정보 관리 소홀 등의 건과 관련해 KB국민카드에 경영유의 2건, 과태료 2200만원의 기관 제재를 내렸다. 또 관련 임원 1명에게 해임권고를, 2명에게 주의적경고, 또 다른 1명에게는 주의 상당의 제재를 내리고 관련 직원들에게는 면직, 정직, 감봉 등의 조치를 의뢰했다.국민은행의 경우 국민카드 분사 당시 1157만명의 카드사 회원이 아닌 고객의 개인 신용 정보를 국민카드에 제공한 건과 이에 대한 점검을 소홀히 한 점 등으로 기관경고와 임원 1명에 주의적 경고, 직원 1명에 견책 상당의 제재를 통보받았다.금융위에 따르면 관련 법률에 따라 신용카드업자는 신용카드 회원 등의 신용에 관한 자료 또는 제반 정보가 외부에 유출되지 않도록 관리하고, 기술적・물리적・관리적 보안대책을 세워야 한다.그러나 국민카드는 지난 2013년 2월 1일부터 8월 31일 사이 ‘카드부정사용방지시스템’ 업그레이드 사업 추진 시 해당 사업을 외부 업체에 맡겨 수행토록 하면서 데이터 변환, 외부매체 접근 제한 등 정보보호를 위해 필요한 조치를 제대로 취하지 않았다.그 결과 2013년 2월부터 4월 사이 모 직원에 의해 국민카드 회원의 신용정보 2044만2698건을 포함한 총 5419만6465건의 이용자 정보와 2013년 6월경 회원 신용정보 2037만3681건을 포함한 총 5379만9193건의 이용자 정보가 USB에 담겨 외부로 유출돼 사회적 물의를 일으켰다.국민카드는 2012년 1월 6일부터 2013년 12월 22일 사이 탈회한 회원이나 유효기간 만료 또는 가맹점의 해지 등 각종 상품・서비스 계약이 최종 만료된 고객정보에 대해 파기하거나 따로 저장해 보관하는 등의 조치를 취하지 않았아 보유목적 없는 고객정보에 대한 파기 규정도 이행하지 않았다.또 시스템 이관 후 국민카드 고객이 아닌 국민은행의 고객정보 역시 파기하지 않고 계속 보관했다.위탁 계약 업체와 계약 채결 과정에서도 문제가 드러났다. 계약 과정에서는 ‘고객정보 보안관리약정’을 아예 체결하지 않았고, 계약 만료 이후 재위탁 과정에서 이를 보완하는 조치도 취하지 않았다.또 업체에 고객의 개인정보를 제공하면서도 해당 사실을 홈페이지에 게재하지 않았고, 전산처리 업무 위탁에 대해 감독원장에 사전보고 해야 함에도 이를 이행하지 않았다.

국민카드는 유출 사고 이후에도 개인정보 관리에도 허점을 보였다.

국민카드는 2014년 1월 17일 홈페이지를 통해 ‘개인정보 유출여부 확인’ 서비스를 제공했다. 그러나 본인확인 방법으로 성명, 성별, 생년월일 및 주민번호 마지막 한자리를 입력하는 단순한 방식을 채택해 제3자가 이를 통해 특정인의 개인정보 유출 항목 등을 조회할 여지를 남겨뒀다.

그 결과 실제 제3자에 의해 조회가 이뤄진 것으로 추정되는 건이 177건(개인정보 유출 여부 조회 고객수 기준)으로 확인됐고, 조회 화면이 캡쳐되어 일부 인터넷 커뮤니티 게시글에 등록돼 유포되는 사고도 발생했다.또 지금은 손해배상 등 관련 소송(시효 3년)에 대비해 보관중인 유출고객정보에 대해서는 지금처럼 인터넷웹서버와 연결이 가능한 DB시스템에 보관하는 것에 그치지 말고 보안이 강화된 별도 독립서버에 암호화해 구축하고 접근권한을 최소화하는 등 통제절차를 강화해야 한다는 지적을 받기도 했다.국민카드는 신용카드모집인에 개인신용정보를 부당 제공하기도 했다.2011년 3월 2일부터 2014년 2월 27일 사이 회원 동의없이 카드사용 촉진권유 등을 위해 신용카드 모집인에게 모집인전용 전산조회 화면을 통해 자신이 모집한 신용카드회원의 월별 신용카드 이용금액 등을 조회할 수 있도록 조회권한을 부여한 것이다.국민은행의 경우 국민카드 분사 과정에서 분사 관련 인허가 절차 등에 대한 의사 결정권이 KB금융지주에 있다는 이유로 개인신용정보 보호에 관한 업무를 소홀히 했다는 지적을 받았다.실제 국민은행은 2011년 6월 4일부터 6일 사이에 국민은행 개인고객 중 카드 거래가 없는 고객 1157만명에 대한 성명, 주소, 휴대폰 번호 등과 은행 3개월 수신 평잔 등 개인 신용정보 등에 대한 58개 항목을 고객 동의 없이 국민카드에 넘겼다.