우리카드 이용자 개인 정보를 외부 업체 직원이 무단 열람했다. 이후 우리카드 측은 전산 시스템을 개선하고, 이 문제를 제기한 이용자 개인에게 사과하는 것으로 마무리 지었다. 개인 정보가 노출된 이용자 전체에게 개별 공지를 하지는 않았다. 우리카드에 대한 감독 당국의 징계도 없었다.
카드 업체 정보 유출 사건 뒤에도 우리카드 개인 정보 무단 열람
지난해(2015년) 7월 초까지 벌어진 일이다. 이보다 앞서, KB국민·롯데·NH농협카드 등 카드 업체 외주 용역 직원이 1년 8개월 동안 주민등록번호와 신용카드 번호 등 고객 정보를 대거 빼돌린 일이 있었다. 이 사건이 드러난 2014년 1월, 박근혜 대통령이 직접 대책 마련을 지시했다.
우리카드 사건은 그 뒤에 있었던 일이다. 대통령의 지시에도 불구하고, 카드 업체의 개인 정보 보호 수준은 크게 높아지지 않았다. 우리카드 측은 지난해 사건과 2014년 초 논란이 된 카드 업체 개인 정보 유출 사건은 성격이 다르다고 설명한다. 경제적 이익을 노리고 고의로 정보를 유출한 건 아니라는 설명이다.
고의 유출만 아니면 된다?…무단 열람, 다양한 악용 가능성
그러나 이런 태도가 더 큰 문제라는 지적이 나온다. 개인 정보 관리는 인권 문제인데, 정보 인권에 대한 불감증이 드러난 사례라는 것이다. '돈을 노리고 고의로 벌인 일만 아니면 문제가 없다'라는 인식이 바뀌지 않는 한, 개인 정보 보호는 영원히 남의 일이 된다.
예컨대 개인 정보를 사적 보복 등에 악용하는 사례는 계속 나올 수 있다. 실제로 건강보험공단 등에선 민감한 개인 정보를 무단 열람한 사례가 매년 발생한다. 개인 정보를 이용해 채무 독촉을 하거나 옛 애인의 근황을 몰래 살핀 경우도 있다. 감독 당국이 형식적인 조치로 일관한다면, 이런 사례는 범죄로 확대될 수 있다.
대형 금융회사는 괜찮다?
하지만 금융감독원 등 감독 당국은 신뢰감을 주지 못했다. 금융감독원은 지난달 15일부터 한 달간 400여 개 금융 회사를 상대로 '개인 신용 정보 보호 의무 이행 실태'를 점검 중이다. 금융감독원은 그 배경에 대해 "최근 대폭 강화된 개인 신용 정보 보호 의무를 제대로 이행하지 않는 사례가 다수 발견"됐기 때문이라고 설명했다.
그런데 금융감독원은 지난해 우리카드 사건을 그냥 넘어갔다. '개인 신용 정보 보호 의무 이행 실태'를 점검한다는 최근 발표에 믿음이 가지 않는 이유다.
또 금융감독원은 이번 점검 계획을 발표하며 "대형 금융 회사의 경우 개인 신용 정보 보호를 위한 관리 체계를 비교적 잘 갖추고 있으나 소규모 금융 회사와 금융 유관 사업자의 경우 미흡한 측면이 있다"고 설명했다. '우리카드 사건'은 금융감독원의 이런 설명이 틀렸다는 걸 보여준다. 대형 금융 회사도 개인 신용 정보 보호를 위한 관리 체계가 엉망이었다.
"이번 달에 카드를 많이 쓰셨네요"
우리카드 이용자인 A씨는 한 공공 기관에서 일한다. 그는 지난해 6월 공무원복지카드 사용에 대해 전화로 문의하다 이상한 대답을 들었다.
"이번 달에 카드를 많이 쓰셨네요."
A씨는 그 달에 공무원복지카드를 쓴 적이 없었다. 알고 보니, A씨가 갖고 있는 다른 카드 사용 내역에 대한 이야기였다. 우리카드는 공무원복지카드 관련 업무를 외부 업체에 위탁했다. 그런데 공무원복지카드 관련 정보만 외부 업체에 제공한 게 아니었다. A씨의 우리카드 이용 내역 전체가 넘어갔다. A씨와 통화한 업체 직원은 A씨의 우리카드 사용 내역 전체를 들여다 보고 있었다.
이는 현행 개인정보보호법 위반이다. 업무와 관계없는 정보가 동의 없이 넘어갔기 때문이다.
A씨는 우리카드 측에 항의했다. 우리카드 직원이 선물을 들고 찾아와 사과했다. 하지만 A씨가 원한 건, 선물이 아니라 개인 정보 보호 조치였다. 그런데 우리카드 측은 당분간 외부 업체로 카드 사용 내역이 넘어가는 건 어쩔 수 없다고 했다. 외부 업체와의 계약을 갱신하고, 전산 시스템을 개선하는데 시간이 걸린다는 게다. A씨는 선물을 받지 않고 돌려보냈다.
왜 즉시 차단 조치를 하지 않았나
A씨가 답답했던 건 크게 두 가지 이유 때문이었다.
첫 번째, 개인 정보가 동의 없이 외부에 노출됐다면, 그 사실을 파악하자마자 차단 조치를 해야 한다. 그런데 우리카드는 핑계를 대며 시간을 끌었다. 두 번째, 우리카드는 외부 업체와 '계약'을 맺고 일을 진행했다. 업무 처리에 대한 세세한 내역이 모두 계약 사항이었다. 이는 개인 정보 노출 위험에 대해 계약 과정에서 알 수 있었다는 뜻이다. 그런데 우리카드는 이런 위험을 무시했다.
결국 A씨는 금융감독원, 국민권익위원회, 감사원 등에 잇따라 제보했다. 하지만 이들 기관은 뚜렷한 조치 없이 사건을 종결 처리했다. A씨의 지적 이후, 우리카드 측이 전산 시스템을 개선해서 더 이상 개인 정보가 외부 업체로 넘어가지 않고 있다는 게 이유였다.
우리카드 측이 전산 시스템 개선을 마무리한 날짜가 지난해 7월 10일이었다. 취재 과정에서 우리카드 측은 외부 업체와의 계약 과정에선 개인 정보 노출 위험을 파악하지 못했다고 밝혔다.
개인 정보 노출 가능성, 미리 알 수 없었다?
이런 대답은 얼마나 설득력이 있나. 복수의 정보기술(IT) 업체 관계자에게 물어봤다. 답변 내용에는 두 가지 공통분모가 있었다.
첫 번째, A씨가 6월에 문제 제기를 했는데 시스템 개선은 7월 10일에 이뤄진 점이 이상하다고 했다. 그렇게 오래 걸릴 일은 아니라는 게다. 적어도 기술적으로는 말이다.
일단 외부 업체에 개인 정보가 노출되는 일부터 막고, 다른 절차를 밟았어야 했다는 답변도 있었다. 개인 정보 보호를 최우선에 놓고 일처리를 하지 않았다는 점은 분명해 보인다는 의견이었다.
두 번째, 개인 정보 노출 가능성을 미리 알 수 없었다는 답변은 납득할 수 없다고 했다. 상식 밖의 답변이라는 게다.
첫 번째 답변에 대해 우리카드 측은 BC카드 등 제휴 업체와 업무 협의를 하느라 시간이 걸렸다고 설명했다. 우리카드만의 문제라면, 즉시 해결할 수 있었겠지만, 그렇지 않았다는 설명이다. 우리카드는 BC카드의 회원사다.
왜 개별 공지를 하지 않았나
우리카드 측은 이번 사건을 '정보 유출'로 규정하는 걸 거부한다. 2014년 초 논란이 된 카드 업체 개인 정보 유출 사건과 비교되는 걸 꺼리기 때문이다. 이에 대해 장여경 진보네트워크 정책 활동가는 "개인 정보가 원래 있어야 할 곳이 있지 않다면, '유출'로 규정할 수 있다"고 설명했다.
이어 그는 "정보 유출 피해자 전원에게 우리카드 측이 사실 통보를 했어야 했다"고 말했다. 문제를 제기한 당사자만 무마하려한 태도는 잘못이라는 설명이다. 실제로 우리카드 측은 개인 정보가 넘어간 당사자들에게 개별적인 공지를 하지 않았다.
개인 정보 무단 열람, 다양한 악용 가능성
설령 '유출'은 아니라는 입장을 받아들여도, 문제는 남는다. '무단 열람'은 그 자체로 다양한 악용 가능성이 있다.
매년 국정 감사 때면, 국회 복지위원회에서는 건강보험관리공단 직원들의 개인 정보 무단 열람이 도마 위에 오른다.
지난해 김성주 당시 새정치민주연합 의원이 국민건강보험공단으로부터 제출받은 자료에 따르면, 5년간 27건의 개인 정보 무단 열람이 적발됐다. 사례는 다양하다. 직원 남편의 전 배우자 정보 열람, 노래방 도우미의 개인 정보 열람 등이다. 개인 채무 상환 협박이나, 친구의 사업을 돕는 목적으로 개인 정보를 활용한 경우도 있었다. 과거 불륜 상대의 요양 정보를 3년간 지속적으로 무단 열람한 사례까지 적발됐으나, 대부분 형식적인 징계에 그쳤다.
스스로 심각성 인정한 문제를 가볍게 넘긴 금감원
감독 당국의 태도 역시 석연치 않다. 감사원이 A씨에게 답변 내용을 전달한 게 지난 6월 10일이다. 그리고 금융감독원이 '개인 신용 정보 보호의무 이행 실태'를 점검하겠다고 발표한 게 6월 15일이다.
당시 금융감독원은 "특히 '자기 신용 정보 이용 현황 확인 제도'의 이행 여부를 철저히 점검"하겠다고 했다. '자기 신용정보 이용 현황 확인 제도'란, "1만 명 이상의 개인신용 정보를 보유한 금융 회사 등은 조회 시스템의 이용 방법 및 절차 등을 마련하여 금융 소비자가 본인 신용정보 이용 및 제공 내역(최근 3년간)을 조회할 수 있도록 해야 한다"라는 것이다. 지난 3월 12일 시행됐다. 이 제도 시행에 따라, 금융 회사는 홈페이지에 개인 신용 정보 이용 현황을 확인할 수 있는 항목을 배치해야 한다.
금융감독원이 "이행 여부를 특히 철저히 점검"하겠다고 밝힌 '자기 신용 정보 이용 현황 확인 제도'는, A씨의 사례와 관계가 있다. 금융 회사가 개인 신용 정보를 외부에 제공한 사실을 감춘 게 A씨가 지적한 문제였다. 다만 A씨가 문제를 제기한 시점이 제도 시행일보다 앞섰을 뿐이다.
이런 문제를 "특히 철저히 점검"하겠다는 건, 금융감독원 역시 심각성을 인정한다는 뜻이다. 그런데 정작 A씨의 제보에 대한 금융감독원의 태도는 미온적이었다. 스스로 심각성을 인정한 문제를, 가볍게 처리한 셈이다.
전체댓글 0