[10년 전 그날] 카드사 개인정보 유출 사태
KB국민·NH농협·롯데카드 등 신용카드 3개사 약 2,000만명·8000만 건 유출 성명·휴대전화번호·신용등급 등 최대 19개 정보 털려···카드 미발급자도 포함 3개사 사장, 긴급 기자회견서 카드 부정 사용 등 피해 전액 보상 약속 '사과' 금융당국, 카드 결제시 고객에게 문자서비스 제공·ARS 등 인증 결제 전면 시행 2023년 LG유플러스 관리소홀로 약 30만명 개인정보 유출돼 황현식 대표 "단기간 내 연간 정보보호 투자액 1천억 원 확대" 약속 개인정보보호위원회 회의서 과징금 68억 원·과태로 2700만 원 부과 2024년 1월, LG유플러스 "고객정보보호 총책임자 CPO 현재 채용 진행 중" 방심위 내부 직원 민원인 개인정보 유출 의혹에 경찰 강제 수사·압수수색 진행 야권 추천 방심위원들·노조 문제제기 "'민원 사주' 의혹 제기 대한 본격적 탄압 시작" 언론·시민단체, 서울남부지검에 류희림 방심위 위원장 업무방해 등 혐의 고발장 제출 한국사회복지협의회 '자원봉사시스템' 해킹 공격에 약 135만명 개인정보 유출돼 2023년 6월 이후 한국장학재단·워크넷·동행복권 이은 네번째 공공사이트 피해 사례 개인정보보호위원회, 2024년 3월부터 공공기관 대상 '공공정보 보호 수준 평가제' 시행
'10년이면 강산도 변한다'는 말이 있다.
10년 전 헤드라인 뉴스를 통해 '과거 속 오늘'을 다시 한 번 되짚어 보고
더 발전했는지, 답보상태인지, 되레 퇴보했는지 점검해보고자 한다.
[뉴스 타임머신-10년 전 그날]
2014년 1월 20일 카드사 개인정보 유출 사태
지난 2014년 1월 20일은 두가지 키워드로 정리할 수 있다. 바로 '개인정보 유출'과 '신용카드사'다.
● 개인정보 2000만명 털렸다···국민·농협·롯데카드 3개사 8천만 건 정보 유출
KB국민카드, NH농협카드, 롯데카드 등 신용카드 3개사의 개인정보 유출 사태가 일파만파 확대되고 있다. 3개 신용카드사의 개인정보 유출 피해가 약 8000만건에 이르는 것으로 추산됐다. 박근혜 대통령과 이명박 전 대통령, 반기문 유엔 사무총장 등의 개인정보도 빠져나간 것으로 알려졌다. 개인정보 유출 사건 사상 최대 규모다.
금융당국과 검찰은 KB국민카드, NH농협카드, 롯데카드로부터 약 2000만명, 8000만건의 개인정보가 유출된 것으로 추산된다고 2014년 1월 19일 밝혔다. 이는 당초 검찰이 발표했던 1억580만건에서 기업과 가맹점, 사망자를 제외한 것이다. 카드사별로는 국민카드가 4000만건으로 가장 많고, 농협카드와 롯데카드가 각각 2000만건이었다. 정보 유출 피해자 가운데는 전·현직 대통령을 비롯해 거의 모든 부처의 장차관과 국회의원, 연예인 등이 포함된 것으로 알려졌다. 신제윤 금융위원장, 최수현 금융감독원장 등 금융당국 최고 책임자도 들어 있었다. 박세춘 금감원 부원장보는 “대량으로 (개인정보가) 유출된 건 이번이 처음”이라고 말했다.
2014년 1월 17일 시작된 3개 카드사의 개인정보 유출 조회 결과를 보면 유출 정보는 ‘성명, 휴대전화번호, 직장 전화번호, 자택 전화번호, 주민번호, 직장주소, 자택주소, 직장정보, 주거상황, 이용실적 금액, 결제계좌, 결제일, 연소득, 신용한도금액, 결혼 여부, 자가용 보유 유무, 신용등급, 타사 카드 보유 현황’ 등 최대 19개였다.
특히 국민카드의 경우 카드를 만들지 않은 국민은행 등 계열사 고객의 개인정보까지 유출됐다. 농협카드와 롯데카드는 카드번호와 유효기간까지 빠져나갔다. 카드번호와 유효기간만 알면 홈쇼핑 등에서 물품을 살 수 있다. 국민카드와 농협카드는 타사 카드정보도 유출됐다. 일부 고객은 10년 전 카드를 해지했음에도 개인정보가 남아 있다가 유출됐다.
특히, 롯데카드는 회원 수(822만명)의 두 배가 넘는 2000만건이 유출된 만큼 롯데백화점 등 롯데그룹 통합회원인 ‘롯데멤버스’ 회원 정보까지 무더기로 새나갔을 가능성도 배제할 수 없다. KB국민카드의 유출 규모가 회원 수의 2배 이상인 것은 지주사 내부의 정보 공유 때문이라는 분석이 우세하다.
3개 카드사 이외에 금감원이 검찰에서 입수한 정보 유출 USB 메모리에는 시중은행 고객 24만명, 저축은행 2000명, 여신전문금융사 11만명의 개인정보도 담겨 있는 것으로 알려졌다. 하지만 금감원은 이번 개인정보 유출 사고로 신용카드가 위조될 가능성은 매우 낮다고 밝혔다. 금감원 관계자는 “카드사에서 유출된 개인정보 항목에 비밀번호와 CVC(인증코드)는 없었다. 카드가 위조될 가능성은 매우 낮다”고 말했다.
심재오 KB국민카드 사장, 박상훈 롯데카드 사장, 손경익 NH농협카드 분사장은 2014년 1월 20일 오전 서울 코리아나호텔에서 긴급 기자회견을 갖고 고객 정보 유출에 따른 대책을 발표했다. KB국민카드와 롯데카드, NH농협카드 등 고객 정보유출 카드 3사는 이번 사태로 인한 카드 부정 사용 등 고객 피해를 전액 보상하기로 했다.
국민카드 심재오 사장은 "카드 부정 사용을 인지하고 신고를 하면 60일 이전 부정사용에 대해서 보상하겠다"며 "정보 유출로 인한 카드 위조, 변조 피해에 대해서는 정해진 보상 기간에도 불구하고 카드사가 전적으로 책임질 것"이라고 말했다. 그는 "국민카드 경영진은 이번 개인정보 유출 사고에 대해 법적, 도덕적 책임을 다할 것"이라고 밝혔다.
한편 카드번호와 유효 번호만으로 카드 결제가 가능한 곳에서 주문하면 고객에게 문자서비스 등으로 사전 확인하는 방식이 2014년 1월 25일부터 시행됐다. 금융위원회와 금융감독원은 최근 개인 정보를 불법 유통하는 개인브로커 문제가 심각하다고 판단해 이런 보완책을 즉시 시행하기로 했다. 이는 최근 1억여건의 고객 정보를 유출한 국민카드, 롯데카드, 농협카드 뿐만 아니라 신한카드, 삼성카드, 현대카드 등 모든 카드사에 적용된다.
금융당국 관계자는 "카드 회원들이 정보 유출에 대한 우려가 커짐에 따라 카드번호와 유효 번호만으로 결제할 경우 해당 고객이 다양한 방법으로 확인해 피해 신고할 수 있도록 했다"면서 "일부 카드사는 시행 중이며 2014년 1월 25일부터 전면 시행할 방침"이라고 밝혔다.이에 따라 전화나 인터넷으로 물건을 살 때 카드나 유효기간만 요구하면 자동응답시스템(ARS)이나 문자메시지, 전화 등을 통해 인증을 받아야 결제가 이뤄지게 된다.
● LG 유플러스 대규모 개인정보 유출···황현식 대표 "뼈를 깎는 성찰로 거듭날 것"
LG유플러스는 2023년 1월 10일 홈페이지 공지사항을 통해 “일부 고객의 개인 정보가 유출된 사실을 인지했다”며 “소중한 정보가 부적절하게 이용될 수 있으니 유의해 주기 바란다”고 밝혔다. LG유플러스에 따르면 개인 정보가 유출된 고객 수는 18만명 규모로 유출된 정보는 개인마다 차이가 있지만 성명, 생년월일, 전화번호 등이 포함됐다. 다만 납부와 관련한 금융 정보는 유출되지 않았다는 게 LG유플러스 측 설명이다.
LG유플러스는 지난 2일 정보 유출 사실을 인지해 이튿날 경찰 사이버수사대와 한국인터넷진흥원(KISA)에 수사를 의뢰했다. LG유플러스 관계자는 유츨 사실 인지와 이를 공지하기까지 8일이 걸린 점에 대해 “불명확한 데이터를 확인하고 고객을 특정하는 데 시간이 걸렸다”고 설명했다.
LG유플러스는 정보가 유출된 고객에게는 개별적으로 문자, 이메일 등을 통해 고지하고 있다. 회사 홈페이지에서도 정보 유출 여부를 조회할 수 있다. LG유플러스는 “고객들에게 심려 끼쳐 드린 점에 대해 고개 숙여 사과의 말씀을 드린다”면서 “수사에 적극적으로 협조할 것이며 추후 모니터링 시스템 강화 등 고객 정보보호에 최선의 노력을 다하는 한편 조사 결과에 따라 재발 방지 대책을 마련하겠다”고 덧붙였다.
이후 2023년 2월 14일 LG유플러스는 해커 혹은 개인정보 판매자와 간접적으로 접촉해 유출 경위 등을 파악하려 했던 것으로 확인됐다. 보안 협력 업체는 해커 또는 개인정보 판매자에게 소액을 건넨 뒤 정보를 받았고 LG유플러스는 이 정보를 확인했으나, 여기에는 유출 경로에 대한 내용은 없었다고 전했다. LG유플러스 관계자는 "현재까지 파악한 개인정보 유출 피해자는 29만 명이며, 한 사람당 중복 유출 등으로 피해 건수는 59만 건으로 파악되고 있다"고 설명했다.
황현식 LG유플러스 대표는 최근 발생한 개인정보 유출과 인터넷 서비스 장애 사태에 공식으로 사과했다. 황 대표는 2023년 2월 16일 오후 서울 LG유플러스 용산 사옥에서 기자간담회를 열어 "정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다"며 "이번 사고는 중대한 사안으로, 모든 사업의 출발점은 고객이라는 점을 되새겨 고객 관점에서 기본부터 다시 점검하겠다"고 말했다. 그러면서 "단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1천억 원으로 확대할 예정"이라고 밝혔다.
그는 또 학계와 법조계, NGO 등과 함께 '피해지원협의체'를 구성해 고객별 유형을 고려한 종합 피해 지원안을 마련하고 '피해 신고센터'도 운영할 방침이라고 알렸다. 아울러 전사 정보보호·개인정보보호 책임자(CISO·CPO)를 최고경영자(CEO) 직속 조직으로 재편하고, 영역별 보안 전문가를 영입해 역량을 강화할 계획이라고 덧붙였다.
LG유플러스가 관리 소홀로 고객 약 30만명의 개인정보를 유출시켜 과징금 68억 원을 물게 됐다. 국내 기업에 부과된 과징금으로는 최대 규모다. 조사 결과 드러난 LG유플러스의 개인정보 보호 시스템은 민감 정보를 다루는 대기업 통신사라고는 믿기 어려울 만큼 허술했다. 개인정보보호위원회는 2023년 7월 12일 전체회의를 열고 고객 개인정보 60만건(중복 제거시 30만건)이 유출된 LG유플러스에 대해 과징금 68억 원과 과태료 2700만 원을 부과했다.
한편 2024년 1월 7일 LG유플러스에 따르면 회사는 조만간 고객정보보호 총책임자 역할을 맡을 CPO를 영입한다. CPO 공모가 시작된 후 약 10개월 만이다. LG유플러스 관계자는 "CPO의 경우 현재 채용 진행 중에 있으며 현재 인선 막바지 단계에 돌입했다"며 "자세한 진행 상황 공개는 불가능하지만, 보안에 관련된 투자는 지속적으로 늘려나갈 계획"이라고 전했다.
● 경찰 '민원인 정보 유출' 방심위 압수수색···공공기관 대상 '개인정보 보호 수준 평가제' 시행
방송통신심의위원회 내부 직원이 민원인 개인정보를 유출했다는 의혹과 관련해 경찰이 강제 수사에 착수했다. 서울경찰청 반부패공공범죄수사대는 2024년 1월 15일 오전 양천구 목동 방심위에 수사관을 보내 압수수색을 진행했다.
방심위는 2023년 12월 27일 민원인 개인정보를 유출한 혐의(개인정보보호법 위반)로 사무처 직원 등 성명불상 직원에 대해 서울남부지검에 수사를 의뢰한 바 있다. 방심위는 수사의뢰서에서 "민원인 정보는 방송 민원을 접수한 방심위로부터 유출된 것이 아니라면 외부에 공개되는 것이 사실상 불가능하다"며 "사무처 직원이 정보를 외부에 유출하고 그 과정에서 직·간접적으로 언론에 제공한 것으로 강하게 추정된다"고 언급했다.
앞서 뉴스타파와 MBC는 류희림 방심위원장이 가족과 지인을 동원해 뉴스타파 '김만배-신학림 허위 인터뷰' 보도와 인용 보도들에 대해 방심위에 민원을 넣도록 했다는 의혹이 있다고 보도했다.
이와 관련해 야권 추천 방심위원들과 노조에서도 문제를 제기했다. 노조는 이날도 성명을 내고 "위원장의 '민원 사주' 의혹 제기에 대한 본격적인 탄압이 시작됐다"며 "독립적인 심의 업무를 방해하는 위원장의 부패 행위를 신고했는데 공권력을 앞세운 속수무책의 압수수색에 무력감을 느낀다"고 했다.
언론·시민단체가 류희림 방송통신심의위원회 위원장을 업무방해·공직자이해충돌방지법 위반 등 혐의로 추가 고발하겠다고 1월 17일 밝혔다. 민주언론시민연합과 문화연대, 새언론포럼, 전국언론노동조합은 이날 오후 서울 양천구 방송회관 앞에서 기자회견을 열고 1월 18일 서울남부지검에 류 위원장에 대한 고발장을 제출한다고 밝혔다.
이들은 고발장에서 "류 위원장은 위계로서 다른 방심위 위원들이 류 위원장이 사주한 민원들이 진정한 민원이라고 오인 또는 착각하게 해 방심위 위원들이 긴급 심의 안건으로 상정·심의하지 않아도 될 것을 상정·심의하게 했다"고 지적했다. 이어 "방심위 내부 익명의 신고자를 색출해 일벌백계할 예정이라고 하며 감찰반을 꾸려 방심위 직원들의 직무에 대해 부당한 감사를 지시했다"며 "권익위원회 신고를 이유로 직무에 대한 부당한 감사에 해당하는 불이익 조치를 했다"고 덧붙였다.
한편 한국사회복지협의회(협의회)가 인증·관리하는 자원봉사 시스템이 최근 해킹 공격으로 약 135만명의 개인정보가 유출된 것으로 파악됐다. 해당 기관은 외부 해킹 공격 다음날인 이 같은 사실을 인지했지만 개인정보 유출 등 피해 규모 파악 및 시스템 재개까지는 8일이 소요됐다.
보건복지부 산하 기관인 협의회 관계자는 2024년 1월 15일 “사회복지자원봉사인증관리시스템(VMS)이 1월 7일 새벽 불법 아이디를 활용한 부정 로그인 방식의 해킹 공격을 받았다”며 “다음날 해킹 사실을 인지한 뒤 1월 12일 개인정보 유출 등의 피해 규모가 135만명쯤이라는 것을 파악했다”고 말했다.
VMS는 전국 자원봉사자의 모집이나 배치, 봉사 정보 등이 등록된 데이터베이스다. 2001년 이후 자원봉사 활동을 한 약 930만명의 회원 아이디와 국문·영문 성명, 생년월일, 주소, 연락처, 이메일 등 8개 필수항목과 직업, 학교정보, 학력, 자격면허 4개 선택항목에 관한 개인정보를 담고 있다. 협의회는 아울러 개인정보 유출 의심 대상자에게 이메일과 문자메시지를 발송하고 홈페이지(www.vms.or.kr)에 관련 사실을 공지했다.
이번 자원봉사 인증·관리 시스템 해킹 공격은 2023년 6월 이후 한국장학재단, 구인·구직 ‘워크넷’, 복권 통합 포털 ‘동행복권’에 이은 네 번째 공공사이트 피해 사례이다. 이와 같이 개인정보 유출이 계속되자 개인정보보호위원회는 2024년 3월부터 공공기관을 대상으로 이전보다 강화된 '개인정보 보호 수준 평가제'를 시행한다고 1월 18일 밝혔다.
평가제는 공공기관에서 개인정보 유출 사고가 꾸준히 발생함에 따라 이에 대한 대책 수립과 보호 조치 강화를 유도하기 위해 마련됐다. 그동안 진행된 '관리 수준 진단제'의 경우 말 그대로 기관의 개인정보 보호 체계를 진단하는 정도였던 탓에 문제가 있더라도 개인정보위가 제재하기 어려웠다.
그러나 지난해 관련 법 개정으로 개인정보위가 공공기관에 개인정보 보호 수준을 평가하는 데 필요한 자료 제출을 요청할 수 있는 근거가 마련됨에 따라 강화된 평가를 실시할 수 있게 됐다. 이에 따라 개인정보위는 평가 과정에서 정당한 사유 없이 자료를 내지 않거나 허위로 제출한 공공기관에 과태료 불과하고 조치 결과 보고서를 요구할 수 있게 됐다. 평가 결과에 따라 우수 기관은 포상을, 미흡한 기관은 현장 컨설팅과 실태 점검을 받게 된다.
양청삼 개인정보위 개인정보정책국장은 "보호 수준 평가제가 공공기관 스스로 국민의 신뢰를 얻을 수 있는 개인정보 보호 체계를 갖춰나가는 계기가 되도록 운영하겠다"고 말했다.
[전국매일신문] 김주현기자
joojoo@jeonmae.co.kr