[신용카드 정보 유출 1년] (상) 소 잃고 외양간 못 고치는 금융당국

1년 전인 지난해 1월 8일 사상 최대 규모의 개인정보 유출 사고가 검찰 수사결과 세상에 알려졌다. KB국민·롯데·NH농협카드에서 1억4000만건의 고객정보가 새나간 것이다. 이 사건은 카드사 3곳의 협력업체인 신용정보회사 코리아크레딧뷰로(KCB) 소속 한 직원이 고객정보를 유출한 혐의로 검찰에 구속되면서 드러났다. 이 직원은 이상거래탐지시스템(FDS) 구축을 위해 각 카드사를 방문하면서 이동식 저장장치(USB)에 고객정보를 무단으로 저장해 탈취한 것으로 밝혀졌다. 대통령부터 필부필부까지 피해는 광범위했고 무차별적이었다. 초유의 정보 유출 사태에 당황한 금융 소비자들이 한꺼번에 재발급으로 몰리면서 카드사들의 업무가 마비될 지경에 이를 정도로 후폭풍은 거셌다.

◇벌써 1년…불안은 계속된다=지난달 4일 경찰은 탈취한 소셜네트워크서비스(SNS) 카카오톡 계정으로 친척인 것처럼 가장해 송금을 받아 가로챈 사건(국민일보 2014년 12월 5일자 보도)에 대해 수사에 착수했다. 제삼자가 카카오톡 계정을 탈취해 벌이는 ‘카톡 피싱’이 1년 만에 다시 등장한 것이다. 그러나 지난해 11월 뱅크월렛카카오가 서비스되기 시작할 즈음 벌어진 일이라 관련 업계가 바짝 긴장했다. 카카오톡은 휴대전화로만 인증이 가능해 계정이 도용됐다는 건 휴대전화에 담긴 정보가 통째로 털렸다는 의미이기 때문이다. 뱅크월렛카카오는 애플리케이션을 이용해 곧바로 돈을 송금할 수 있는 서비스다. 따라서 휴대전화 정보가 통째로 해킹됐다면 해커는 손쉽게 돈을 가로챌 수 있다.

최근엔 농협 계좌를 이용하는 고객이 자신도 모르는 사이 거액의 예금이 제삼자에게 송금되는 사건이 잇따랐다. 경찰 수사와 금융 당국의 검사에서도 원인을 찾지 못하고 있다. 금융 소비자들은 금융기관보다 안방 깊숙한 곳에 보관된 금고가 더 안전하게 느껴질 지경이다.

금융권과 IT보안 전문가 사이에선 금융 당국이 중점적으로 추진하고 있는 ‘핀테크’가 사상누각이 될 수 있다고 우려한다. 핀테크는 금융(finance)과 기술(technology)의 융합을 일컫는데 특히 IT기술과 금융 부문이 결합한 새로운 형태의 서비스를 말한다. 그러나 전문가들은 금융권의 허술한 보안과 당국의 어설픈 보안의식이 결합하면 정보 유출보다 더 큰 재앙을 초래할 수 있다고 지적한다.

금융 당국은 올해 안에 인터넷전문은행을 출범시킬 계획이다. 말 그대로 점포 없이 인터넷으로만 예금·대출 등의 업무를 진행하는 은행이다. 그러나 아직 출범도 하기 전에 인터넷전문은행에 쏠리는 우려가 크다. 계좌를 개설하려면 본인 확인이 필수지만 고객이 점포를 방문하지 않는 비대면 방식으로는 마땅치가 않다. 이미 개인정보가 시중에 발에 채일 정도로 돌아다니기 때문에 비대면 본인인증 방식이 악용될 소지가 크다는 지적이다.

◇편리성만 앞세우는 금융 당국=금융 당국은 개인정보 보호보다는 관련 규제를 풀어 결제를 편리하게 하는 데 주력하고 있다. 직접적인 계기는 지난해 3월 박근혜 대통령이 ‘규제개혁 끝장토론’에서 ‘천송이 코트’ 발언을 하면서부터였다. 토론이 열리기 불과 열흘 전 ‘금융 분야 개인정보 유출 재발방지 종합대책’을 내놨던 당국은 이후 규제 완화로 급선회했다. 지난해 5월 전자상거래법 시행세칙을 개정해 온라인쇼핑에서 30만원 이상 결제할 때 공인인증서를 의무화한 조항을 폐지했다. 또 지난해 9월 전자금융거래법을 개정해 특정기술이나 인증방법을 강제할 수 없도록 했다. 하지만 개인정보 유출 공포에 시달린 국민들은 여전히 불안하다.

지난달 금융보안연구원이 성균관대와 공동으로 대학생 1000명을 대상으로 한 ‘스마트폰 전자금융 이용 및 보안인지도’ 조사에서는 보안성이 가장 높은 방법으로 공인인증서가 1위를 차지해 카드정보나 SMS(문자서비스) 인증을 앞질렀다. 전자금융 편의성과 보안성 인식조사에서는 46%가 ‘다소 불편해도 안전성이 중요하다’고 응답했다.

정부는 결제시스템을 간소화해도 문제없다는 입장이다. 금융위원회 관계자는 6일 “소비자들이 불편함을 느끼는 사전인증보다는 사후인증을 하는 쪽으로 정책방향을 바꾼 것이라고 보면 된다”며 “종합대책에서도 개인정보가 유출되면 금융사가 확실히 책임지도록 제재를 강화했다”고 설명했다. 하지만 제삼자나 금융지주 계열사에 개인정보를 제공하는 것을 제한하고 정보가 유출되면 금융사가 피해액의 3배를 배상하는 등 종합대책 핵심 내용이 담긴 신용정보보호법은 여전히 국회를 통과하지 못하고 있다.

당국의 대책과 금융현장의 괴리도 크다. 전자금융거래 접속정보와 거래내역을 분석하는 FDS도 비용 부담으로 인해 도입이 늦어지고 있다. 현재 FDS를 도입한 곳은 농협·하나·신한·KB국민·부산은행 정도다. 이렇듯 보안시스템 구축은 지지부진한 반면 규제 완화를 통한 금융혁신은 금융권의 주요 과제로 급부상했다. 그러나 금융소비자들이 돈을 맡기기 불안할 정도로 보안이 허술한 현 상황에서 편의성만을 강조하는 금융 당국의 행태는 오히려 불안감을 부채질한다는 지적이 많다.

선정수 백상진 기자 jsun@kmib.co.kr

▶ 관련기사 보기◀