카드사 개인정보 유출만 문제는 아니었다. 그나마 금융기관들은 보안시스템이 나은 편. 개인정보를 수집하는 곳은 많고 관리는 허술하다 보니, 일상생활 곳곳에 개인정보가 떠다니는 것이나 다름없다.
신용카드 결제정보서버에서 1,200만건의 정보가 유출된 사건도 예견된 사고였다는 게 업계 반응이다. 신용카드 결제기(POS)를 통해 저장된 카드정보는 대부분 암호화돼 있지 않거나 관리가 부실하기 짝이 없기 때문이다.
POS는 백화점 대형마트 같은 대형 유통업체뿐 아니라 음식점, 슈퍼마켓, 술집, 미용실, 분식점까지 신용카드를 이용하는 곳이라면 어디든 있다. 대부분 마그네틱 신용카드를 리더기로 읽는 과정(카드 긁기)을 통해 카드번호부터 유효기간, 카드 사용내역 등이 POS관리업체 서버에 그대로 저장된다.
문제는 '개인정보 저장창고'나 다름없는 서버 자체의 보안이 허술하다는 데 있다. 이번 1,200만건 개인정보유출 사고 역시 POS 관리업체 서버에 저장된 상태 그대로 정보가 새 나간 것이었다. 심지어 경찰은 이번엔 구글 검색사이트에 신용카드 번호를 입력하는 것만으로도 해당 신용카드로 결제한 내역과 결제장소, 일시, 할부 여부까지 상세한 자료를 얻을 수 있을 정도로 허술했다고 밝혔다.
현재 국내에서 POS를 관리하는 업체는 대형사만 10여 곳에 달하고, 단말기 관리업체까지 합치면 그 수는 훨씬 많다. 한 POS업체 관계자는 "영세한 POS 업체들은 각자 암호화 방식을 적용했다가 결제가 안 되는 등 소비자 불만이 나오면 암호를 풀어놓은 곳이 많다"고 말했다.
일차적으론 암호화가 필요하지만, 설령 암호화가 되더라도 100% 안전한 것은 아니다. 최근에는 결제내용이 저장된 서버뿐만 아니라 POS 기기 자체를 노리는 해킹이 급증하고 있는데, 실제로 지난해 미국 대형 유통업체 '타깃'은 POS 기기에 악성코드가 침투하는 바람에, 무려 1억1,000만명의 카드결제정보와 개인정보가 털리는 피해를 입었다.
POS 외에도 개인정보가 새 나갈 구멍은 도처에 산재해 있다. 최근엔 동네 빵집이나 커피전문점, 서점, 미용실까지 회원카드를 만들고 마일리지 적립이나 할인혜택을 제공하고 있는데 여기서도 보안의 구멍은 많다는 것이다. 업계 관계자는 "동네 매장들이 회원카드만 발행해줬지 제대로 관리를 하고 있는지 의문"이라고 말했다.
또 보통 POS를 통하면 카드 관련 정보만 수집되지만, 적립을 위해 회원카드를 함께 긁으면 여기에 들어있던 주소 연락처 가족관계 등도 함께 저장된다. 이번 사건에서도 경찰은 자료가 있는 사이트의 다른 폴더에는 포인트 관리를 위해 저장된 회원의 개인정보도 함께 들어 있었다고 밝혔다. 회원가입정보에는 이름, 주소, 전화번호 등이 상세히 기록돼 있어 사실상 모든 개인정보가 다 털리는 셈이다.
그럼에도 업계는 비용문제 등으로 개인정보 암호화 조치에는 소극적이고 당국 역시 손을 놓고 있다. 한 POS업체 대표는 "정부가 주도해서 여신협회, 카드사, 밴사 등의 이해가 얽힌 것을 풀고 일괄적으로 보안 하드웨어를 설치할 수 있도록 해야 하는데 제대로 교통정리가 안되고 있다"고 말했다.
강희경기자 kstar@hk.co.kr
기사 URL이 복사되었습니다.
댓글0