메리츠화재 고객통화 파일이 유출되는 사고가 일어났다. 메리츠화재는 협력업체 잘못이라고 하며 피해가 발생하면 전액 보상하겠다고 밝혔지만 실제로 고객이 피해사실을 입증해야 하는 점 때문에 사실상 보상받기 어렵다.
이에 징벌적 배상책임제 등을 도입해 금융사가 과징금이 무서워서라도 정보보안 강화에 힘쓰도록 해야 한다는 지적이 제기된다.
27일 금융권에 따르면, 메리츠화재는 지난 25일 손해사정 업무를 위탁받은 모 회사의 고객 상담 내용 파일을 보관한 백업서버가 외부에서 접속이 가능한 상태로 노출됐다. 이 서버에 고객과 인터넷전화 녹음 파일은 70만 건에 이르는 것으로 나타났다.
이 서버에 IP주소가 비정상적으로 설정돼 있으며, 총 200건 정도의 외부 접속이 이뤄졌다는 것이 메리츠화재 측의 조사결과다.
메리츠화재는 이 사고를 금융감독원에 신고하고 진화에 나섰다. 메리츠화재는 “협력업체의 잘못이지만 관리 감독 책임을 인정한다”라며, “만약 피해가 발생하면 모두 보상할 방침”이라고 했다.
그러나 실제로 고객 피해가 발생하더라도 보상 받기는 힘들다는 지적이 제기된다. 피해사실을 고객이 직접 입증해야 하기 때문이다.
이기욱 금융소비자연맹 사무처장은 <시사포커스>와 통화에서 “피해사실을 고객이 직접 입증하기는 사실상 어렵다”라며, “또한 소송을 진행해야 하는데 피해 금액이 적을 경우 소송을 포기하는 경우가 많다”고 말했다.
◆끝없는 금융사 고객 개인정보 유출, 대책 없나?
금융사의 고객 개인정보 유출은 비단 어제오늘 일어난 일은 아니다. 그렇다면 이렇게 매번 반복되는데는 이유가 있을 것이라고 짐작된다.
지난 2013년6월 KCB신용평가사 직원에 의해 3개 카드사(국민, 롯데, 농협) 고객 개인정보가 대출광고업자 등에게 유출됐다. 카드사들은 7개월 동안 이 사실을 모르다가 2014년 1월 검찰 발표로 알게 됐다.
이 사건으로 인해 국민 두명 중 한명 꼴로 개인정보가 유출됐다. KB국민카드 5300만 건, 롯데카드 2600만 건, NH농협카드 2500만 건 이중 중복을 제외하면 2000만 명의 개인정보가 유출됐다.
카드사들은 즉시 사과문을 올리고 개인정보 유출 여부를 확인할 수 있게 했으며, 카드사들은 부정 사용 될 시 전액 보상을 하겠다고 발표했다. 또, 금융감독원은 비 카드사인 16개 금융사로부터 불법유출된 것으로 의심되는 개인정보 건수는 127만 건이며, 중복을 제외한 고객 수는 약 65만 명 수준이라고 설명했다.
지난해 1월 20일, 손경익 NH농협카드 부사장, 심재오 KB국민카드 사장, 박상훈 롯데카드 사장 등이 이 사건에 책임을 지고 모두 사표를 냈다.
한편, 소비자 100여명이 지난해 1월 20일 첫 집단 소송을 제기했다. 고객정보가 유출된 카드3사는 2014년 2월 17일부터 그 해 5월 16일까지 부분 영업정지 처분을 받았다.
유출된 정보 중에는 주민등록번호, 대출거래 내용, 신용카드 승인 명세 등의 민감한 신용정보 등이 유출돼 2차 피해가 우려된다. 현재 유출된 것으로 알려진 정보들은 성명, 이메일, 휴대전화번호, 직장전화번호, 자택전화번호, 주민번호, 직장주소, 자택주소, 직장정보, 카드이용실적금액, 결제계좌, 결제일, 신용한도금액, 신용등급 등으로 사실상 카드번호를 제외한 모든 정보가 유출됐다. 게다가 카드사에서 탈회한 회원의 정보도 유출된 것으로 알려졌다.
이는 법적으로 탈퇴한 회원의 개인정보도 보관하고 있도록 규제하고 있기 때문인데, 탈퇴한 회원의 개인정보도 부정사용방지시스템의 자료에 포함됐던 것으로 드러났다. 이에 유출된 신용정보 등을 이용한 2차 피해 등이 우려되고 있다. 이미 유출된 정보를 조회하게 하는 것처럼 속여 개인정보를 빼내는 보이스피싱 및 파밍이 등장하고 있다.
그 외에도 신용정보 등을 통해 대출·연체 기록을 이용한 대출 모집, 소비 패턴을 이용한 전화사기 등에 악용될 것으로 우려된다. 금융당국은 개인정보 유출 방지에 만전을 기할 것을 약속했지만, 개인정보를 '저렴한 영업수단'으로 보는 업계의 분위기가 달라지지 않는다면 이러한 사건은 계속 일어날 것이라는 시각이 존재한다. 결국 소비자 본인의 개인정보 관리가 가장 중요하다는 것.
◆잇따른 개인정보 유출, 어려운 피해 입증·솜방망이 처벌 원인?
고객 개인정보 유출이 되더라도 금융사는 마치 책임을 확실히 지듯 전액 보상하겠다고 적극적인 모양새를 취한다. 그러나 실상은 그렇지가 못하다.
금융사들의 약관에도 개인정보 유출에 따른 보상책임이 명시돼 있다. 그러나 이것을 고객 스스로 입증해야 한다는 어려움이 있다.
또한 솜방망이 처벌도 문제소지가 있어 보인다.
처벌이 너무 가벼워 정보보안 강화에 드는 비용보다 적게 드니까 유출되도록 방치하는 것 아니냐는 지적이다.
이기욱 금융소비자연맹 사무처장은 “한번 사고가 나면 피해금액의 수십배를 과징금으로 물리는 ‘징벌적 배상책임제’로 사고를 낸 기업이 휘청거리도록 할 필요가 있다”고 밝혔다.
또한 소송을 통해 한 고객이 보상을 받게 된다고 해도, 똑같은 피해를 본 고객이라도 또다시 소송을 해야 하는 번거로움이 있어 고객이 소송을 포기하기 쉽다는 것. 그래서 집단소송제를 통해 기업이 개인정보 유출에 대한 경각심을 가지게 해야 한다는 지적이다.
이러한 금융사들의 안전불감증 행태는 정보보호최고책임자를 얼마나 두고 있느냐를 보면 짐작해볼 수 있다.
기업 경영평가 사이트 CEO스코어에 따르면 국내 주요 금융사 중 세곳중 한곳은 정보보호최고책임자(CISO)가 없는 것으로 나타났다. 특히 삼성생명 등 생보·손보사는 절반도 채 안돼 지난해 최대 규모의 개인정보 유출사태가 있어났음에 불구하고 안전불감증이 여전하다는 지적이 제기된다.
CEO스코어는 “농협과 하나금융은 직원 수가 300명을 넘지 않아 CISO를 임원으로 선임하지 않아도 되지만, 책임자급이 임원인 곳에 비하면 정보보안 업무에 힘이 덜 실릴 수밖에 없을 것으로 보인다”고 밝혔다.
한편, 현행 전자금융거래법 상 금융회사는 직전 사업연도 말 총자산이 2조 원이상, 종업원이 300명을 넘을 경우 정보보호책임자를 임원으로 지정해야 한다. 현재는 CIO가 CISO를 겸할 수 있지만 오는 4월16일부터는 새롭게 선임되는 CISO는 겸직을 할 수 없게 된다.
CEO스코어는 “대형사들조차 전담 임원급 CISO를 선임하지 않아 금융권의 정보보안 불감증이 심각한 것으로 드러났다”고 밝혔다. [ 시사포커스 / 박효길 기자 ]
