[뉴스토마토 윤민영 기자] 올 들어 보험·카드·저축은행 등 제2금융권 전반에서 개인정보 유출 사고가 잇따르고 있습니다. 이들 업권은 모두 소비자 기반이 크고 민감한 개인정보를 다수 보유하고 있음에도 불구하고 보안관리 체계는 여전히 취약한 상태입니다. 특히 내부 직원의 실수 또는 고의, 외주 개발 환경에서 비롯된 취약점 등 관리 부실에 기인한 사고가 반복되고 있어 제도적 허점을 드러내고 있다는 지적이 나오고 있습니다.
반복되는 개인정보 유출
6일 금융감독원과 개인정보보호위원회에 따르면 이달 초 법인보험대리점(GA)인 유퍼스트보험마케팅과 하나금융파인드 등 2곳에서 총 1107명의 고객 및 임직원 개인정보가 외부로 유출되는 해킹 사고가 발생했습니다. 보험영업지원 시스템을 개발·운영하던 외부 개발자의 PC가 악성코드에 감염되면서 14개 GA의 웹서버 접근 정보까지 유출된 것으로 조사됐습니다. 유출된 정보에는 이름·연락처·주민등록번호·급여 정보 등 민감한 항목이 포함된 것으로 알려졌습니다.
GA 조직의 구조적 취약성이 드러난 만큼 금융당국도 보험업계 전반에 대한 내부통제 강화를 검토할 것으로 예상됩니다.
카드업계에서도 유사한 사건이 발생했습니다. 지난 3월 우리카드는 약 20만명에 달하는 가맹점주의 개인정보를 무단으로 조회하고 이를 신규 카드 발급 마케팅에 활용한 사실이 드러났습니다. 개보위는 이에 대해 134억5100만원의 과징금을 부과하며 강하게 제재했고 당시 내부 시스템 관리가 조직적으로 허술하게 운영돼왔다는 점을 지적했습니다. 우리카드는 내부 마케팅 부서의 요청에 따라 고객 정보 접근 권한이 부당하게 공유된 것으로 보고 향후 전산시스템 개선과 사내 교육 강화 등을 약속한 상태입니다.
그러나 사고의 본질은 단순한 기술적 오류가 아니라 개인정보 보호에 대한 내부 의식 부족과 관리 책임의 형식적 운영이라는 점에서 심각성이 큽니다. 조직적으로 고객 정보를 마케팅에 활용하는 과정에서 법적 동의 절차를 무시하거나 접근 권한 통제를 무력화한 행위가 발견된 만큼 카드업계 전반에 대한 추가 점검이 불가피할 것으로 보입니다.
저축은행에서도 내부 직원에 의한 대규모 개인정보 유출 사례가 발생했습니다. 인천 소재의 A저축은행 과장급 직원은 고객 22만명의 개인정보를 불법으로 수집하고 외부에 판매한 혐의로 지난 3월 경찰에 입건됐습니다. 이 직원은 대출 가능 여부를 조회한 고객 정보를 대출 브로커에게 제공한 것으로 조사됐으며 일부 정보는 불법 사금융 업체로도 흘러들어간 정황이 드러났습니다.
업권을 가리지 않고 개인정보 유출 사고가 반복되고 있음에도 사고 대부분은 외부 해킹보다는 내부 관리 실패에 그 원인이 있다는 공통점을 보인다. 사진은 참여연대 등 8개 시민사회단체 회원들이 20일 서울 종로구 정부서울청사 개인정보위원회 앞에서 열린 ‘개인정보보호위의 산업계만을 위한 맞춤형 광고 가이드라인 폐기 요구 기자회견’에서 손피켓을 들고 서 있는 모습. (사진=뉴시스)
사고 관리 책임 허술
업권을 가리지 않고 개인정보 유출 사고가 반복되고 있음에도 사고 대부분은 외부 해킹보다는 내부 관리 실패에 그 원인이 있다는 공통점을 보입니다. 개인정보보호법상 금융기관은 이용자의 동의 없는 정보 수집·활용을 금지하고 위탁사 관리, 접근 권한 통제, 보존 기간 이후 파기 등 일련의 보호 절차를 반드시 이행해야 합니다. 하지만 GA와 카드사, 저축은행 등에서 드러난 실태는 해당 절차가 존재함에도 불구하고 이를 지키지 않거나 형식적으로만 운용하고 있는 구조적 문제를 안고 있습니다.
예컨대 지난해 12월 다이렉트 자동차보험을 판매하던 12개 보험사는 이용자 동의 없이 개인정보를 수집하고 보존 기간이 지난 이후에도 이를 파기하지 않아 개보위로부터 과징금 제재를 받았습니다. 이는 법적 제도나 기술 시스템의 부재가 아닌 명확히 존재하는 절차를 제대로 이행하지 않아서 벌어진 사고라는 점에서 위 사건들과 맥락이 같습니다. 해당 보험사들은 이후 개인정보 보호 관리 체계를 재점검하고 실무자 교육을 강화하겠다고 밝혔지만, 전문가들은 제재가 반복되는 구조 자체를 바꾸지 않으면 같은 문제가 되풀이될 수 있다고 우려합니다.
업계 관계자는 "정보보호 예산이 대형사에 집중되는 반면 GA나 중소형 금융사들은 자체 IT 인프라나 보안 인력이 부족한 경우가 많다"며 "지속적인 교육과 시스템 투자 없이 법 위반에 대한 벌금만 늘어나는 식으로는 개선 효과가 미미할 수밖에 없다"고 지적했습니다. 한 보험사 관계자는 "일선 현장에서는 고객 정보 활용이 영업 성과와 직결되기 때문에 무리한 마케팅 관행이 개선되지 않으면 내부통제도 유명무실해질 수 있다"고 토로했습니다.
결국 개인정보 보호 체계는 기술적 조치 못지않게 실무자가 그 중요성을 인식하고, 절차를 성실히 이행하는 문화로 정착돼야 한다는 데 의견이 모아지고 있습니다. 제도가 아무리 촘촘하게 설계돼 있더라도 이를 운용하는 인력이 시스템 구조를 모르거나 책임의식이 없다면 사고는 반복될 수밖에 없습니다.
실제로 개인정보 유출은 해킹보다 내부 부주의, 시스템 미비에 따른 사고가 더 빈번하게 발생하고 있습니다. 개보위가 집계한 지난해 유출 신고 건수는 총 307건으로, 이 중 56%인 171건이 해킹에 의한 것으로 나타났습니다. 그러나 나머지 44%는 업무상 과실, 시스템 오류, 미흡한 점검에 의한 사고로 집계되며, 대부분 인재(人災)에 해당하는 사고로 분류됩니다.
이기혁 중앙대 융합보안학과 교수는 "개인정보 보호는 시스템이나 규정의 부재가 아니라 이미 마련된 절차를 제대로 이행하지 않는 관리 부실이 본질적인 문제"라며 "많은 기업이 내부 시스템의 전체 구조나 고객 정보 흐름을 실무자가 제대로 파악하지 못한 채 운영되고 있어, 사고를 막기 위한 기본적인 점검조차 어려운 상황"이라고 진단했습니다. 그러면서 "보안 사고를 줄이려면 담당자가 자기가 맡은 영역뿐 아니라 회사 전체 시스템과 정보 흐름을 이해할 수 있도록 하고 주요 시스템은 효율보다 안전을 우선해야 한다"고 강조했습니다.
윤민영 기자 min0@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지