금감원 적발 때까지 쉬쉬변환 자료 아닌 실자료 제공자체 점검서 발견하고도 감춰2차 유출 가능성은보험사는 극구 부인하지만금감원 "데이터 복원해 봐야"정부합동수사단에 조사 의뢰
농협생명에서 지난 1월 고객 정보 35만건이 외주업체 직원에게 유출된 사실이 뒤늦게 밝혀졌다. 당시 회사측이 이 사실을 발견했지만, 금융당국에 적발될 때까지 쉬쉬해 온 것으로 드러났다. 2차 유출에 따른 고객 피해 방지는 외면한 채 책임을 피하기에만 급급했다는 비난이 쏟아진다. 특히 농협카드에 이어 농협생명에서도 정보 유출이 이뤄지면서 농협금융 전체의 신뢰에도 큰 흠집이 가게 됐다.
금융감독원은 농협생명에 대한 경영실태평가 현장점검 과정에서 고객 개인정보 약 35만건이 외주업체 K사 직원 17명의 개인 노트북컴퓨터에 저장된 사실을 보고한 내부 문건을 적발했다고 16일 밝혔다.
금감원에 따르면 농협생명은 카드 3사에서 사상 최대 고객정보 유출 사건이 발생해 시끄럽던 1월 13~15일 자체 점검에서 이 같은 사실을 확인했다. 농협생명측은 부랴부랴 외주직원들의 개인 노트북컴퓨터에서 개인 정보를 모두 삭제했지만, 금융당국에는 이 사실을 보고조차 하지 않았다. 금감원이 최근 현장 점검에서 해당 문건을 발견하고 추궁하자 농협생명측은 "자체 점검 기간에 적발했고 해당 정보는 모두 삭제했다"고 실토했다.
정보 유출 과정은 카드 3사 유출 사건과 매우 흡사하다. 농협생명은 보험사기방지시스템 구축을 맡긴 외주업체 직원에게 주민번호 등 고객정보를 제공하면서 테스트용으로 변환된 자료가 아닌 실제 자료를 제공했다. 카드 3사 역시 외주업체인 코리아크레딧뷰로(KCB) 직원에게 카드사 부정사용 방지시스템(FDS) 업그레이드 작업을 맡기면서 암호화 된 정보가 아닌 실제 자료를 제공한 바 있다.
농협생명측은 유출된 정보에 어떤 항목들이 포함됐는지조차 제대로 공개하지 않고 있다. 금감원 관계자는 "내부 문건에 '주민등록번호 등 고객정보'라고만 돼 있다"며 "정확한 정보 내역은 추가 조사를 해봐야 한다"고 밝혔다. 농협생명측은 "주민번호, 이름, 전화번호, 보험가입 여부 등 4가지 정도이며 질병정보 등 민감한 개인정보는 없다"고 선을 그었지만, 추가 정보가 더 있는 것 아니냐는 의혹이 제기되고 있다.
농협생명은 2차 유출 여부에 대해서도 "가능성은 없다"고 주장했다. 작년 10월부터 현재까지 업무를 맡고 있는 해당 외주업체 직원들이 외부에 유출한 적이 없다고 진술했으며, 개인노트북의 USBㆍ이메일 등 외부유출 경로를 차단한 데 이어 자체점검 기간 중 해당 정보를 모두 삭제했다는 것이 이유다.
그러나 금감원은 2차 유출 가능성을 배제하지 않고 있다. 농협생명이 자체점검을 실시하기 이전에 외주업체 직원들이 얼마든지 개인 노트북컴퓨터를 외부로 반출할 수 있었다는 것이다.
이에 따라 금감원은 개인정보범죄 정부합동수사단에 사실관계를 전달하고 범죄혐의 수사를 의뢰하는 한편, 농협생명에 대해서는 17일부터 개인정보 관리부실 검사에 나서기로 했다. 금감원 관계자는 "기한을 두지 않고 검사를 실시하기로 한 것은 2차 유출 가능성을 배제하지 않고 있다는 의미"라며 "검사를 통해 데이터를 복원해봐야 정확히 어떤 정보가 새 나갔는지 알 수 있다"고 말했다.
이대혁기자 selected@hk.co.kr
강지원기자 stylo@hk.co.kr
기사 URL이 복사되었습니다.
댓글0