"민·관 전문가 4人이 말하는 신용 정보 유출 원인과 해법
-임종인 고려대 정보보호대학원장
"보안인력 제대로 안키워, 외주 업체에 주로 의존… 결국 외부 직원이 유출"
-박세춘 금융감독원 부원장보
"금융지주사 간 정보공유 최소 필요부분만 한정해 정보 유출 재발 막을 것"
-노병규 인터넷진흥원 정보보호본부장
"예산 5%이상 IT 투자 기업 美는 40%인데 한국은 3%… 보안투자 인식이 이러니…"
-박진식 법무법인 넥스트로 변호사
"심각성 어렴풋이 알았지만 이번엔 얼마나 유출됐는지 직접 확인하며 분노 커져"
KB국민·NH농협·롯데카드 등 카드 3사의 1억400만건 개인 신용 정보 유출 사태는 정보기술 등에 힘입어 발전을 거듭해 오던 우리 신용사회에 큰 오점을 남겼다.
사태를 되돌아보면서 근본 원인을 진단하고 해법을 모색하기 위해 긴급 좌담회를 마련했다.
좌담회에는 노병규 한국인터넷진흥원 정보보호본부장 박세춘 금융감독원 부원장보 박진식 법무법인 넥스트로 변호사 임종인 고려대 정보보호대학원장 등 전문가가
참석했다.
참석자들은 "소비자가 보안 수준이 높은 금융사를 골라 거래할 수 있도록 보안등급 공시제도를 도입하자"고 제안했다.
―이번 개인 정보 유출 사태의 근본적인 원인은 무엇이라고 보나.
임종인 "당국은 그동안 규제만 하면서 제대로 된 보안 역량 강화 방안을 내놓지 않았다.
금융사들은 뚫리면 망한다는 위기의식이 없었다.
그러면서 보안 인력을 제대로 양성한 적이 없었고 결국 외주에 의존하면서 외부 직원에 의한 정보 유출이 일어났다."
노병규 "금융회사 내부에서 보안 정과 관련한 견제와 균형이 이뤄지지 않았다.
CSO(정보보안최고책임자)와 CIO(최고정보관리책임자)를 겸임하는 회사가 많다는 게 대표적이다.
CSO가 상시적으로 보안을 점검하면서 CIO를 감시해야 하는데, 이를 한 사람이 겸임하다 보니 시어머니 역할 할 사람이 없었다."
박세춘 "결국 사람의 문제였다.
아무리 좋은 제도를 만들어 놔도 사람이 지키지 않으면 문제가 생긴다.
더불어 개인 정보가 대거 유통되는 블랙마켓이 존재한다는 사실이 드러났다.
확실하게 원인을 규명하고 대책을 마련하겠다."
 | | ▲ (왼쪽 위부터 시계방향으로) 임종인 고려대 정보보호대학원장,박세춘 금융감독원 부원장보,박진식 법무법인 넥스트로 변호사,노병규 인터넷진흥원 정보보호본부장. |
―과거에도 개인 정보가 유출된 적이 많았는데 유독 이번 사건이 공분을 일으킨 까닭은.
임종인 "역사적으로 이번보다 많은 정보가 유출된 적이 없었다.
개인별로 20개 이상의 정보가 유출됐다.
이 정도면 사이버상에서 누군가 나로 행세할 수 있을 만큼의 정보이다.
당국은 금전적 피해가 아직까지 없다는 점을 강조하는데, 대량의 정보가 새어 나간 것 자체가 문제였다.
심지어 카드사들은 1년간 정보가 나갔는지 자체를 몰랐다. 정말 한심한 상황이었다."
박진식 "처음으로 소비자들이 자기 눈으로 어떤 정보가 유출됐는지 확인했다.
예전엔 어렴풋이 알았던 개인 정보 유출의 심각성을 이번에 처음 피부로 느끼면서 실체적인 분노가 형성됐다."
―당국과 카드사들의 후속 대책에 대한 평가는.
임종인 "당국은 외부로 정보가 유통되지 않아 2차 피해를 일으킬 가능성이 전혀 없다는 것을 강조하면서 안심하라는 얘기만 했다.
하지만 상식적으로 정보를 유출한 직원이 이를 유통시키지 않았다는 게 말이 안 된다.
그런데도 당국은 사태를 덮는 데만 급급했다."
박세춘 "그렇지 않다. 국가기관이 나서서 국민들을 상대로 불안을 조장해선 안 된다.
정보가 외부로 2차 유통됐다는 증거가 나타나지 않았는데 국민들에게 '빨리 카드를 바꾸십시오' 할 수 없다.
내 양심을 걸고 얘기한다. 국민을 안심시키기 위해 거짓말한 적이 없다."
임종인 "카드사들의 대처도 문제다.
외국에선 이런 사고가 터지면 금융사들이 알아서 피해 고객 전원에게 카드를 재발급해준다.
그러면 고객들이 창구로 찾아가 재발급받기 위해 줄을 서는 대란이 벌어질 일도 없다."
―재발 방지를 위해 필요한 제도적 방안은.
노병규 "IT 투자를 비용으로 생각하는 경우가 많은데 이제는 투자라고 생각해야 한다.
한 해 기업 예산 중에서 IT 부문에 5% 이상 투자하는 기업 비중이 미국은 40%인데 우리는 3%밖에 되지 않는다.
보안 투자를 경시하는 인식을 바꾸지 않으면 비슷한 사고가 반복될 것이다.
금융당국은 금융사를 상대로 채찍질만 할 것이 아니라 보안 능력을 강화할 수 있는 방안을 제시해야 한다."
임종인 "지주 소속 계열사끼리 정보를 공유할 수 있게 한 금융지주회사법을 당장 개정해야 한다.
또 금융당국이 개인 정보를 유출한 금융사에 대해 관련 매출의 1%까지 과징금을 매긴다는데 더 올려야 한다.
공정거래위원회는 관련 매출의 최고 10%까지 과징금을 매기는 규정을 갖고 있다."
박세춘 "금융사들이 과다한 정보를 수집하지 못하도록 하고 관리책임도 더욱 엄격하게 부과할 것이다.
금융지주 계열사 간 정보 공유도 꼭 필요한 만큼만 최소한으로 한정해서 재발을 막겠다."
박진식 "정보 유출 업체들이 좀 더 책임감을 갖고 사태에 대처해야 한다.
과거 사례를 보면 옥션에서 1971만건의 정보가 유출된 적이 있었는데 옥션은 당시 유출 건수를 축소해 발표했다.
1971만건이란 숫자는 내가 수사기록을 열람해 알아낸 것이다.
이런 식으로 하면 신뢰를 얻을 수 없다. 사후 대처라도 솔직하게 해야 한다."
임종인 "정부는 금융사들이 보안에 적극 투자할 수 있도록 '보안등급 공시제도'를 도입할 필요가 있다.
이를테면 A+부터 D까지 10단계의 등급을 만들어서 금융회사별로 등급을 매겨서 국민에게 알려야 한다.
그러면 금융사들은 A+를 받기 위해 경쟁을 할 테고 그 과정에서 보안 수준이 대폭 올라갈 것이다."
☞ Biz Chosun ☜ ■ 정리=신동흔 기자 / 정리=박유연 기자
 草浮
印萍
"Q: 기존 고객들 불이익 없나 A: 카드결제·현금서비스는 그대로… 신규대출·카드한도증액은 不可
1억건이 넘는 사상 최대의 개인 정보 유출 사건이 발생한 KB국민·롯데·NH농협카드 등 3개 카드사의 기존 고객은 오는 17일부터 카드론이나 현금서비스 한도를 추가로
높일 수 없게 된다.
금융당국이 이번에 개인 정보 유출 사고를 낸 3개 카드사들에 대해 3개월 영업정지 조치를 내리기로 결정했기 때문이다.
이에 따라 해당 카드사들은 3개월 동안 신규 고객 모집과 신규 대출이 금지된다. 영업정지로 인해 3개 카드사 고객들이 알아야 할 사항들을 정리해 본다.
―영업정지가 되면 어떤 업무를 볼 수 없게 되는가.
"3개 카드사는 신규 고객 모집과 신규 대출이 전면 금지된다.
따라서 이들 카드사로부터 새 신용카드를 발급받을 수 없고 카드론이나 현금서비스를 새로 신청해 돈을 인출할 수 없다."
 | ▲ 설 연휴에도 카드 재발급·정지 상담 - 설 연휴 마지막 날인 2일 오전 서울 중구 을지로 롯데백화점 카드센터에서 고객들이 카드 재발급 등을 위한 상담을 받고 있다.
/뉴시스 |
―기존 고객들은 어떻게 되나.
"3개 카드사의 기존 고객들은 큰 불편이 없다.
물건을 살 때 카드로 결제하는 것은 지금처럼 똑같이 할 수 있고, 카드 재발급을 요청해도 마찬가지이다.
카드론이나 현금서비스도 지금처럼 이용할 수 있다."
―카드론 한도를 높이고 싶은데 가능한가.
"안 된다. 신규 대출이 금지되기 때문이다.
카드론이나 현금서비스의 한도가 찼거나 한도를 높이고 싶은 경우 지금은 카드사와 상담해서 한도를 높일 수 있지만 앞으로 3개월 동안은 3개 카드사 고객들이 카드론과
현금서비스의 한도를 추가로 올려 이용할 수 없다."
―카드사를 통한 보험 가입은 가능한가.
"안 된다. 영업정지 내용 가운데 신규 고객 모집 행위에 해당하기 때문에 이들 3개 카드사를 통해 보험에 가입하는 것도 불가능하다."
―영업정지되는 시기가 왜 17일부터인가.
"금융당국이 영업정지 등 중징계를 내릴 때에는 해당 금융회사에 대해 소명 기회 등을 주기 위해 제재심의위원회를 개최하기 열흘 전에 징계 내용을 알려주도록 돼 있다.
이에 따라 금융위원회는 3일 해당 카드사에 징계 방침을 통보할 예정이다.
금융위는 오는 14일 제재심의위원회와 금융위원회를 열어 영업정지를 확정하는데 14일이 금요일이기 때문에 다음 영업일인 17일부터 영업정지를 시행하는 것이다."
☞ Chosun Biz ☜ ■ 김영진 기자
草浮
印萍
""스스로 주민번호 바꿀 수 있는 보완책도 필요"
美, 원할 땐 사회보장번호 변경
獨, 10년마다 새로운 번호 부여
좌담회에 참석한 전문가들은 카드사 개인 정보 유출 사태를 계기로 유일한 개인 식별 수단인 주민등록번호 외에 다양한 개인 인증 수단이 나와야 한다고 지적했다.
법무법인 넥스트로의 박진식 변호사는 "이번 사태 이전에도 이미 상당량의 개인 정보가 유출돼 왔고 이는 무한복제를 거치면서 사실상 전 국민의 주민등록번호가 노출돼
있다고 보면 된다"며"노출된 주민번호가 계속 악용될 가능성을 차단하기 위해 민간은 물론 정부에서도 주민번호 활용을 최소화해야 한다"고 말했다.
임종인 고려대 정보보호대학원장은"주민등록번호는 한번 부여받으면 변하지 않는 고정된 번호여서 유출 시 피해가 크기 때문에 대안을 검토해야 한다"고 말했다.
외국 사례를 보면 한국처럼 개인 정보를 유추할 수 있는 주민식별번호를 정부는 물론 민간에서까지 널리 활용하는 나라는 거의 없다.
독일의 경우 신분증을 10년마다 재발급하도록 하면서 갱신 때마다 번호를 새로 부여하고 있는데 이 번호에는 우리나라처럼 성별·고향·생년월일 같은 개인 정보는 담기지
않고 신분증의 일련번호로서만 역할을 한다.
이와 별도로 의료보험번호 연금보험번호, 조세식별번호가 있는데 해당 분야에 한정해서 쓰도록 하고 있다.
일본은 무작위의 11자리 숫자로 구성된 주민 코드를 부여하고 있다.
미국은 개인이 신청할 경우 사회보장번호를 부여한 뒤 개인 인증 수단으로 활용토록 하고 있는데 원할 경우 사회보장번호를 바꿀 수 있다.
임종인 원장은 "주민등록번호 외에 휴대전화번호 등 다른 개인 인증 수단을 우선 사용하도록 하면서 주민등록번호를 변경할 수 있게 하는 등 운영상 보완이 필요하다"고
말했다.
☞ Chosun Biz ☜ ■ 박유연 기자
草浮
印萍
|