외부업체에 자료 내 줄 때 데이터 변환 여부가 열쇠주민번호·카드정보 숫자 바꾸거나 일부 삭제해 제공내부 직원이 승인해 주면 보안시스템도 무용지물모든 정보 한 곳에 담지 말고 여러 서버에 보관해야 안전
10일 오후 서울 충무로 신한카드 본사 16층 IT서비스 부서. 새누리당 개인정보보호특위 소속 국회의원 5명과 전문가 10여명이 찾았다. 신한카드의 개인정보 관리시스템 현황을 살펴보기 위한 것. 김재룡 신한카드 IT본부장은 개발자용 PC에 직접 접속해 고객정보 보안관리 절차를 설명했다.
앞선 7일 최수현 금융감독원장도 IT 실무자와 함께 신한카드 본사를 비공개로 방문해 정보관리 실태를 점검했다. 최 원장은 삼성카드도 방문했다.
카드사 대규모 정보유출 사고를 비껴간 신한카드와 삼성카드가 주목을 받고 있다. KB국민ㆍ농협ㆍ롯데카드에서 정보를 빼낸 코리아크레디트뷰로(KCB) 직원 박모(39) 차장이 신한카드(2013년4~7월)와 삼성카드(2013년 9,10월)에서도 근무했지만 이들 카드사에서는 정보가 유출되지 않았기 때문. 카드3사의 정보 유출이 어떻게 이뤄졌고, 이들 카드사는 어떻게 차단할 수 있었는지 들여다 보겠다고 너도나도 몰려 드는 것이다.
이날 시연회에서 정보 유출의 직접적인 원인으로 지적된 것은 데이터 변환 여부다. 카드사는 데이터를 자사 운용서버에 암호화해서 입력해 보관한다. 보관하고 있던 고객정보를 KCB직원 등 외주업체 직원에게 제공할 때는 암호화한 정보를 푼 뒤에 고객정보를 알 수 없도록 변환한 데이터를 준다. 가령 나이와 성별, 출신지역 등을 알 수 있는 주민번호 앞자리와 뒷자리 첫 숫자만 원본이고 뒷번호는 변환하거나 아예 삭제한다. 카드정보도 임의대로 번호만 매겨서 제공한다. 신한카드는 박씨에게 본사 내 개발자용 PC에서 변환한 정보를 이용해 부정사용방지시스템(FDS)를 개발해줄 것을 요청했다는 것이다.
하지만 FDS는 고객의 카드사용패턴을 분석해 부정사용을 막는 시스템이어서 고객정보가 많으면 많을수록 정확도가 높아진다. 때문에 정보가 유출된 카드사들은 박씨에게 원본 데이터를 그대로 줬다는 얘기다. 또 수천만 건의 정보를 변환하는 데는 시간이 오래 걸리기 때문에 빠른 시일 내에 시스템을 만들기 위해 원본을 통째로 넘겨줬을 것으로 보인다는 것이다.
카드사 규정상 이동저장장치(USB)에 문서를 옮기거나 이메일로 문서를 저장하는 것은 금지돼 있다. 하지만 USB도 내부직원이 승인을 해주면 사용이 가능해진다. 이날 시연회에서도 개발자용 PC에서 데이터를 저장하려고 하면 보안경고창이 떴다. 보안업계 한 관계자는 "개발자 PC는 몇 대 안되다 보니깐 본인 노트북에서 개발 작업을 한다고 하면 일시적으로 데이터를 외부장치로 옮기는 승인을 해준다"고 말했다.
모든 정보를 한 곳에 두는 서버 운용 방식도 문제로 지적됐다. 이날 신한카드를 방문한 정연태 전 코스콤 사장은 "주민번호, 카드번호, 결제내역 등을 한 서버에 운용하지 말고 각각 다른 서버에 보관하는 방법을 강구해야 한다"고 조언했다.
하지만 이들 카드사에 대한 뜨거운 관심이 과도하다는 지적도 많다. 신한, 삼성카드가 정보 유출 사고를 피해갈 수 있었던 것을 높은 보안시스템 때문만으로 보기는 어려운 측면이 많은 탓이다. 실제 박씨는 신한카드에서 근무할 당시 다른 카드사 업무를 동시에 진행하고 있어 신한카드측이 조기 교체를 요구하면서 화를 면한 측면이 강하다. 박씨는 또 신한카드에서는 FDS 화면 구성 업무를, 또 삼성카드에서는 이미 구축돼 있던 FDS를 점검하는 역할을 맡았기 때문에 정보 접근이 쉽지 않았던 것으로 전해진다. 카드사 FDS업무를 담당하는 한 보안관계자는 "내부직원과의 관계가 끈끈했다면 얼마든지 보안시스템을 피해 자료를 빼갈 수 있었을 것"이라며 "이들이 정보 유출을 막은 측면도 있지만 운 좋게 피해간 측면이 더 많아 보인다"고 지적했다.
강지원기자 stylo@hk.co.kr
기사 URL이 복사되었습니다.
댓글0