[카드사 정보유출 사태] 3개사서 1억580만건… 비밀번호 빼고 다 빼갔다

3개 카드사의 고객정보 유출 사건의 파장이 점차 커지고 있다. 1억580만건이라는 피해 규모도 사상 최대지만 여권번호·연봉·결혼여부 등과 같은 세밀한 개인정보부터 실제 카드 결제에 이용되는 카드번호와 유효기간까지 유출됐기 때문이다. KB국민카드의 경우 국민은행 등 KB금융지주 계열사들의 고객정보도 함께 유출돼 된 것으로 확인돼 피해가 커졌다. 시중은행의 고객정보도 안전하지 않은 것이다.

릐카드 유효기간·월급계좌 등 다 털려=19일 금융감독원에 따르면 이번 카드 유출 사고의 피해 고객 수는 NH농협카드와 롯데카드 각각 2000만건, KB국민카드 4000만건에 달했다. 여기에는 중복되는 고객과 사망 또는 해지된 고객들의 정보가 폐기되지 않은 경우 등도 포함돼 있다. 금융위원회는 이날 3개 카드사 CEO 등과 긴급 회의를 갖고 이르면 20일 카드사별로 구체적인 피해고객 수 등을 발표할 것이라고 밝혔다.

특히 이번에 유출된 개인 신상정보의 양은 상상을 초월한다. 카드 가입 시 입력한 정보량에 따라 개인차가 있지만 이름, 휴대전화 번호, 직장 전화번호, 자택 전화번호, 주민번호, 직장주소, 자택주소, 직장정보, 이용실적 금액, 결제계좌, 결제일, 신용한도 금액, 결혼 여부, 자가용 보유 여부, 신용등급 등 최대 19개 항목에 달했다. 경우에 따라 여권번호나 타사 카드 보유 여부 등까지 유출되기도 했다.

특히 롯데카드와 농협카드의 경우 카드번호와 함께 카드 유효기간까지 유출된 것으로 확인돼 상대적으로 본인 확인이 어려운 영세 사업장이나 해외쇼핑 사이트에서 피해가 발생할 우려도 있다. 카드번호와 유효기간이 동시에 다량 유출된 사고는 이번이 처음이다. 금감원 관계자는 “카드번호와 유효기간이 동시에 있으면 해외 인터넷 쇼핑 사이트나 일부 영세 사업장 등에서는 결제가 가능한 경우가 있는 것이 사실”이라면서 “다만 이 경우에도 사용 내역이 확인되면 피해 보상이 가능하고, 대부분의 경우에는 비밀번호와 CVC번호가 없으면 결제가 안 된다”고 말했다.

릐계열사 은행 고객 정보에 해지 고객 정보까지=카드를 이미 해지한 지 수년 넘게 넘었거나 만들지도 않았는데 정보가 유출됐다는 고객들의 불만도 속출하고 있다. 박세춘 금감원 부원장보는 “카드를 해지해도 보통 5년 정도는 향후 분쟁 등에 대비해 카드사가 고객 정보를 보유할 수 있도록 돼 있다”면서 “다만 별도 보관했어야 하는데 이를 지키지 않은 경우는 개인정보보호법 위반”이라고 밝혔다.

게다가 이번 3개 카드사 외에 시중은행 고객정보까지 유출된 것으로 확인되면서 불안감이 확산되고 있다. KB국민카드와 롯데카드, 농협카드에서 고객정보가 유출되는 과정에서 국민은행 등 KB금융지주 계열사 정보도 함께 유출된 것으로 파악됐기 때문이다. 박 부원장보는 “금융지주 계열사 간 고객정보를 공유하는 경우가 있어서 생긴 일로 보인다”면서 “다만 국민은행의 유출된 정보가 예금이나 대출 등 구체적인 거래 정보가 아닌 개인의 신용정보만 유출된 것으로 파악된다”고 밝혔다. 때문에 농협카드 계열사인 농협은행 등 다른 시중은행 정보 유출 가능성도 높다. 특히 카드사의 유출된 정보 내역에는 결제계좌 정보도 있어 시중은행 고객정보도 상당수 유출된 것이나 다름없다는 지적도 나온다. 금융권 관계자는 “결제계좌가 유출됐다는 건 결제은행 정보도 노출됐다고 볼 수 있다”고 말했다.

릐스미싱 등 2차 피해구제책 없어, 집단 소송 움직임=최종구 금감원 수석부원장은 “고객의 금전적 피해가 발생하면 해당 카드사가 보상할 예정”이라고 밝혔다. 하지만 카드 위·변조가 이뤄지는 등 직접적인 1차 피해가 일어났을 때에 한해서다. 정작 가장 우려스러운 대규모 정보유출 사고를 악용한 스미싱이나 보이스피싱 등 2차 피해에 대한 대책은 사실상 전무하다.

유출된 정보를 이용한 금융사기를 당했더라도 고객으로서는 그 정보가 이번 사건으로 인한 것인지 여부를 판단하는 게 거의 불가능하기 때문이다. 경우에 따라 집단소송 등까지 이어질 수 있다. 이미 포털 사이트 다음 토론방 아고라에서는 ‘대국민 신용정보 유출 카드 3사와 신용정보 회사 강력처벌·소송 서명운동’ 청원이 올라와 소송 참가자를 모집 중이다. 금감원 관계자는 “정보 유출로 인한 금융 사기를 당한 경우 신고는 할 수 있겠지만 이번 사고로 인한 것인지 등을 따져봐야 할 것”이라고 말했다.

조민영 기자 mymin@kmib.co.kr