[시사경제토크 시선] 카드사 개인정보 유출대란 '뒷이야기'
유일한
경제를 비롯한 한국 사회전반에 던지는 냉철한 돌직구!
한국 사회를 뜨럽게 달구는 뉴스와 이슈를 심층적으로 분석하고
관련 인사를 통해 속 시원한 해답을 찾아본다.
MTN 증권부 유일한 부장의 다섯번째 시선(視線)
* 카드사 개인정보 유출대란 '뒷이야기'
* 개인정보 보호 위한 근본적 대책은?
[출연 : 권순우 MTN경제금융부 기자 / 강기정 새정치민주연합 국회의원]
전 국민을 집단 멘붕에 빠뜨렸던 카드사 고객정보 유출사고, 우리가 그동안 매일 들었던 그 이야기 말고 알지 못 했던 뒷이야기 해보겠습니다. MTN 경제금융부 권순우 기자, 안녕하세요.
KB국민, NH농협, 롯데카드 3사의 고객 개인정보 유출 건수가 당시 1억 건을 넘었었죠? 이미 기사화 된 내용들 많은데..우리가 몰랐던 뒷이야기는 뭔가요?
☞ 韓 경제/사회전반에 던지는 냉철한 돌직구! <시선> 다시보기
* 일단 ‘통대환대출’이란 무엇인가?
고객정보 유출 사고를 이야기하는데 ‘통대환대출’을 먼저 이야기해서 좀 이상할 수도 있을 것 같은데요. 통대환대출이 1억건 정보 유출 사고의 시작이라 일단 설명을 해드리는게 좋을 것 같습니다. 또 통대환 대출 자체에 대한 개념도 재미가 있습니다.
통대환대출은 고금리 다중 채무가 있는 채무자의 기존 대출금을 모두 갚아주고 신용등급을 상향시킨 후 은행에서 상대적으로 낮은 금리로 기존 대출금보다 많은 대출을 받도록 하는 행위입니다.
통상 기존 대출금의 10%를 받는 사채의 일종으로 대부업 윕나에 해당됩니다. 지난해 9월 금융감독원에서는 이에대한 소비자경보를 발령한 바 있습니다.
그때 금감원에 취재한 결과 통대환대출은 묘한 측면이 있습니다. 기존 대출을 모두 갚아주고 신용등급을 올리고 금리가 낮은 대출로 갈아타는 대출은 채무자에게 유리한 측면이 있습니다. 재무구조가 우량한 기업이 이런 행위를 하면 리파이낸싱이라고 하지요. 채무자 입장에서는 대출액은 좀 늘어나지만 한달에 갚아야 할 이자가 낮아지고 전체적인 대출+이자가 낮아지기 때문에 유리할 수 있습니다.
금감원 관계자는 “특정 세력의 도움으로 일시적으로 신용등급이 높아져도 기본적으로 채무자의 실질적인 신용 능력은 그대로이기 때문에 대출금이 늘어나는 효과가 있다”고 말했습니다.
말은 그렇게 하지만 사실상 통대환 대출이 채무자에게 유리한 측면이 있다는 건 부정하지 않았습니다. 다만 신용세탁을 목적으로 사채 자금을 일시 변제한 후 대출을 신청한 사실이 발각되면 금융권 대출이 거절 되거나 대출금 회수 요구를 받으 수 있습니다. 이럴 땐 치명저일 수 있습니다.
통대환대출이 가능하려면 다중 채무로 힘들어 하는 소비자가 있어야 합니다. 창원지검은 대부알선 광고, 도박사이트 광고 등을 통해 업자들을 찾았습니다. 창원지검은 지난해 10월 불법 대부중개업자 21명을 적발해 5명을 구속했는데 이때 발견된 건이 대한민국을 고객정보 대란으로 빠뜨린 1억건 고객 정보 유출 사고 있습니다.
* 신용카드 부정사용방지시스템이란 무엇인가?
두 번째 알고 가면 좋은 단어가 신용카드 부정사용 방지시스템 FDS입니다. 왜 그렇게 많은 개인정보가 그리로 갔는지 이해하기 위해 필요한 개념입니다. 개념이 재미있어서 소개합니다.
FDS의 방식을 간단히 설명하면 일정한 패턴에서 벗어났을 때 경고를 하는 시스템입니다. 예를들어 한 사람이 서울에서 카드를 쓰고 30분 후 부산에서 카드를 쓰면 경고가 뜹니다. 물리적으로 불가능한 일이기 때문이죠. 한달에 50만원을 1년 넘게 쓰던 사람이 갑자기 1000만원을 결제한다. 이것도 이상하다고 볼 수 있겠지요? 40대 평범한 가정 주부가 룸살롱에서 결제를 한다든지 하는 특이한 거래가 있을 수도 있고요. 매일 교통카드로만 사용하던 카드가 어느날 백화점에서 사용된다. 한번쯤 체크해볼만한 거래입니다.
이 시스템은 현재 보험 쪽에서는 보험사기를 적발하기 위해 사용되고 있습니다. 보험금을 받는 일반적인 경우와 다른 이상한 흐름이 나타나면 보험사기를 의심해 볼 수 있다는 거죠. 이 방식은 빅데이터를 활용한 시스템이라고 할 수 있습니다. 방대한 카드 결제 내역이 빅데이터라면 특정 변수를 넣어 부정 사용 가능성이 높은 결제 내역을 찾아내는 겁니다.
이렇게 해서 이야기는 시작됩니다. 이야기의 시작은 학내밴처에서 홍익대에 지원철 교수님이 계십니다. 이분은 지능형의사결정시스템을 연구하는 분인데요. 이 분이 2003년 학내 벤처로 BI랩을 설립합니다. 대표이사는 강미자씨, 지원철 교수님의 아내분이시고요. 이곳에 박시우씨도 사내이사로 등기가 돼 있습니다.
박시우씨는 지원철 교수님의 제자로 함께 부정사용 방지시스템을 연구했습니다. 지 교수님의 시스템은 국내 카드사로부터 굉장히 호평을 받았는데요. 이전까지 카드사들은 외국의 부정사용 방지시스템을 사용했습니다. 외국의 시스템을 사용하게 되면 한번 설치하고 유지보수를 하는데 돈이 많이 든답니다. 시스템에 대해 알려주질 않아서 업데이트나 뭔가 사소한 오류가 발생해도 그쪽에 요청을 해야하기 때문이라고 합니다. 지 교수님은 시스템 설치 단계부터 해당 카드사 직원들과 함께 작업을 하기 때문에 직접 배울 수 있는 기회가 됐다고 합니다.
여러 카드사가 시스템 설치를 의뢰하다보니 지 교수님이 모든 카드사에 설치를 할 수 없었고 이 시스템을 코리아크레딧뷰로, KCB에 팔게 됩니다. KCB는 개인의 신용정보를 받아 등급을 매기는 회사인데 신규 사업으로 부정사용 방지 시스템을 인수하게 된거죠. 이 과정에서 지 교수님의 조교였던 박시우씨는 KCB에 입사하게 됩니다. 이후 박씨는 조수 두어명과 카드사를 돌아다니며 시스템을 설치하게 된거죠. kcb 직원 중에는 박씨의 존재를 모르는 사람이 대부분이었다고 합니다. 처음부터 이 회사에 다니던 사람도 아니고 부정사용 방지시스템 설치를 위해 카드사로 돌아다니던 분이어서 그렇답니다.
* 왜 카드사는 박씨에게 개인 정보를 주었나?
부정사용 방지시스템은 기본적으로 고객의 카드 사용 정보가 있어야 실험을 할 수 있습니다. 실제 결제 내역을 넣고 시스템을 돌려서 실제로 얼마나 정확하게 부정사용을 잡아내는지 점검을 해봐야 하기 때문입니다. 가상 데이터를 넣고 돌려봐야 의미있는 결과를 얻기 힘들고 확실한 사전 점검 없이 실제 프로그램에 투입할 수 없기 때문입니다.
그래서 박씨는 카드사에 개인의 신용정보를 요구를 했습니다. 원래 개인정보를 제공하기 위해서는 내부적인 승인이 필요합니다. 또 개인 식별 정보가 암호화된 것을 제공해야 하지요. 하지만 암호화된 정보로 프로그램을 돌리면 정확한 데이터를 얻기 힘듭니다. 박씨는 암호가 풀린 개인 정보를 요구했고 카드사는 제공하게 된 겁니다. 이 과정에서 농협, 롯데, 국민뿐 아니라 신한, 삼성도 같은 요구를 받습니다. 하지만 신한, 삼성은 요구에 응하지 않았고 사장이 모두 잘리는 엄청난 후폭풍을 막을 수 있었던 거죠.
* 창원지검은 개인정보 유출 사고를 어떻게 알게 됐나?
통상 금융회사들은 수도권에 있는데 경상남도 창원지검에서 이 사실을 수사하고 발표한 것이 좀 의아하기도 했는데요. 이 사건과 전혀 관련이 없어 보이는 한 프로그래머 살해 사건이 발단이 됐습니다. 창원지검은 2012년 말 필리핀으로 프로그래머를 유인해 살해한 뒤 암매장한 일당을 검거했습니다. 불법 도박 사이트를 운영하는 조직폭력배가 있었습니다. 이들은 게임 프로그래머에게 불법 도박 게임을 만들어 줄 것을 의뢰하고 돈을 줬습니다. 그런데 프로그래머가 돈만 받고 게임을 만들어주지 않았습니다. 조폭은 프로그램를 필리핀으로 유인했고 살해했습니다.
검찰은 프로그래머 살해사건을 수사하면서 불법 도박 사이트를 알게 됐고 이 사이트에서 광고를 하기 위해 엄청난 문자를 발송하고 있다는 사실을 발견했습니다. 개인 정보를 추적하는 과정에서 발견한 것이 바로 ‘통대환 대출’이었습니다. 그래서 대출업자 21명을 적발해 5명을 구속시켰습니다.
이 정보가 씨티은행과 SC제일은행에서 유통된 것을 확인하고 고객정보 10만여건을 유출한 혐의로 씨티은행 직원과 SC은행 직원 등 12명을 기소했습니다. 그리고 추가로 이뤄진 수사에서 KCB직원 박모씨 등을 검거하게 된 겁니다.
* 개인정보 어떻게 유출됐나?
쉽게 설명하면 박시우씨가 친구 조민제씨와 술 마시다가 조씨에게 정보를 팔기로 한 겁니다. 박씨는 한 SC캐피탈의 마케팅을 대행하는 ‘A커뮤니케이션’이라는 회사의 사내이사이기도 했는데요. 조씨 역시 그 회사의 지분 50%를 가지고 있는 최대주주입니다.
조씨는 광고대행업자인데, 쉽게 대출 광고 대신 해준 거라고 생각하면 됩니다. 박씨는 개인정보를 광고대행업자인 조씨에게 넘겼습니다. 박씨는 부정기적으로 200~300만원 정도를 받았다고 합니다. 총액으로 조씨는 2300만원을 받고 3자에게 넘겼고 박씨는 이중 1500만원을 받았다고 합니다. 그렇게 유출된 정보가 2012년 10월에 농협카드 2500만명, 2014년 6월에 국민카드 5300만명, 롯데카드 2600만명 분입니다. 검찰은 범인들의 진술에 근거해 고객 정보가 추가로 유출된 것이 없다고 발표했습니다.
* 2차 유출은 어떻게 된 일?
2차 유출은 없다고 호언 장담하던 금융당국은 개망신을 당했습니다. 검찰의 추가 수사 결과 2차 유출이 있었다는 증거를 찾게 되는데요. 금융당국으로서는 1차 때도 검찰 수사 결과에 따르면 2차 유출이 없었다고 말하긴 했지만 망신은 피할 수 없게 됐습니다.
2차 유출에 대해서 좀 혼돈 스러운 부분이 있는데요. 첫 번째는 추가 유출입니다. 1차 유출 때 1억 400만건이 유출됐는데 이것보다 추가로 더 유출된 사실이 나타났습니다. 박씨가 최초 정보를 유출했다는 2012년 10월보다 더 이전에도 유출을 해갔다는 사실을 적발한 거죠. 그때 나온 건 가맹점주 정보 17만 5000여명의 정보가 있었고요. 농협카드 3만 5000명 고객의 일부 개인정보 항목입니다. 가맹점주 정보는 새로운 거고 농협카드 정보는 예를 들면 주민등록번호, 주소, 이름이 유출된 고객이 알고 보니 주민등록번호, 주소, 이름+계좌번호, 전화 번호도 유출이 됐더라 이런 겁니다.
문제는 실질적인 의미의 2차 유출. 대출중개인 조씨가 다른 사람에게 정보를 전달했다는 점입니다. 검찰의 추가 조사 결과 조씨는 친인척이 운영하는 대부업체 등 6곳에 정보를 유출한 겁니다.
* 유출이 되면 어떻게 되지?
1차 정보 유출 관련 발표를 할 때 다 발표했습니다. 비밀번호와 유효기간은 유출되지 않았습니다. 금융당국이 2차 정보 유출이 없었다고 호언 장담을 했던 것도 국민들의 불안감을 누그러뜨리기 위한 거였는데요. 사실 검찰의 추가 수사 결과 발표를 통해 이미 충분히 정보가 유통돼 사용됐다는 것이 드러난 겁니다.
그래서 개인들이 무슨 피해를 입었는지는 알 수 없습니다. 거기서 유출된 정보로 누군가는 통대환 대출 제의를 받았을 테고 보이스피싱 전화를 받았을 테고 불법 도박 문자를 받았을 수도 있습니다. 그런데 워낙 개인 정보 유출이 잦다보니 어디서 유출된 정보를 통해 본인한테 그런 연락이 왔는지 알 수가 없는 거죠.
* 그럼 유출돼서 생긴 피해는 무엇인가?
국민들이 가장 우려했던 부분은 내 카드 정보가 유출돼 누가 내 카드로 마음대로 결제를 하거나 대출을 받아가는 것일 겁니다. 하지만 카드 비밀번호와 CVC번호가 유출되지 않으면 결제를 할 수 없습니다. 또 우리나라는 대부분 공인인증서를 사용하기 때문에 결제를 할 수 없습니다.
설사 공인인증서까지 털려서 유출이 됐다 칩시다. 또 한단계가 있는데 바로 문자 메시지입니다. 현재 카드 이용고객 중 70%는 한달에 300원을 내고 문자 서비스를 받습니다. 결제가 되면 문자가 오기 때문에 본인이 사용하지 않은 결제 내역이 통보되면 실시간으로 알 수 있습니다. 부정결제가 이뤄지면 카드사에 연락해서 바로 취소를 할 수 있고 보상을 받을 수 있습니다.
나머지 30%가 휴대폰 문자 서비스에 등록이 안돼있다. 그래서 금융당국은 휴대폰 문자 서비스를 의무화하는 방안을 추진하고 있습니다. 1억장이나 발급된 신용카드 문자 서비스를 무료로 하면 300억원이 카드사에 부담이 되고 있습니다. 그래서 카드 포인트로 선결제해서 문자 서비스를 제공하는 방안 등이 검토되고 있습니다.
* 개인정보 유출 될 때 아무런 문제가 없다는 말인가?
개인정보의 진정한 공포는 타겟을 정하고 움직일 경우입니다. 저는 개인정보 유출의 최대 피해자로 채동욱 전 검찰총장을 꼽고 있습니다. 개인 정보와 채동운 전 총장이 무슨 상관이 있나 싶겠지만 채 전 총장이 낙마를 하게 된 가장 큰 이유는 혼외자입니다. 청와대 모 행정관과 서초구청 모 국장이 채 전 총장 아들의 개인 정보를 불법으로 조회하고 이를 폭로해 일어난 사건이기 때문입니다.
오랫동안 개인정보 보호 업무를 해온 정인화 금감원 개인정보보호실장은 “개인정보 유출이 가장 우려스러운 것은 유출된 정보를 통해 개인의 행적을 알 수 있고 이를 통한 범죄가 가능하기 때문”이라고 말했습니다.
예를 들어 제가 누군가에게 원수를 졌는데 그 사람이 제 가족의 정보를 가지고 협박을 할 수 있습니다. 또 제가 카드 결제 내역을 잘 살펴보면 어떤 음식집에 자주 가는지 동선을 파악할 수 있습니다. 은행 계좌를 통해 주로 어느 곳에 돈을 쓰는지도 알 수 있습니다. 이메일 등을 해킹해 제 비밀을 가지고 협박을 할 수도 있지요. 개인 정보를 잘 활용하면 사람 하나 매장 시키는 일은 일도 아니지 싶습니다.
* 불법 개인 정보를 활용한 마케팅 어디까지 왔나?
개인 정보가 사용되는 곳은 엄청나게 많습니다. 제가 입수한 개인정보 리스트를 보면 그 사람의 주민번호와 주소, 전화 번호 등이 있고 대출만기와 대출금액이 나와 있습니다. 그리고 함께 입수한 자료 중에 멘트가 있는데요. 대출을 위해 신용등급을 올리기 위해 29만원의 수수료가 필요하다는 내용이 담겨 있습니다. 본사에 전화를 하면 안된다는 등의 구체적인 내용도 써 있습니다.
2금융 대출을 받은 사람 중 상당수는 대출을 돌려 막기 위해 돈이 필요합니다. 이런 사람들에게 대출을 해주겠다고 속여서 29만원의 수수료를 뜯어내는 내용이 담겨 있습니다.
또 이런 경우도 있습니다. 요즘 산부인과에 가서 임신 진단을 받으면 성장앨범을 만들라는 연락을 받게 됩니다. 아이를 낳고 신생아 실에 있는 사진을 찍고 이 사진을 받고 싶으면 성장앨범을 만들라는 말도 듣게 되죠. 이런 연락은 산부인과가 개인 정보를 스튜디오에 팔아 넘긴 겁니다. 초음파 동영상을 받고 싶으면 그 사이트에 가입해야 한다는 전제를 깔기도 하죠. 한번에 200만원이 넘는 성장앨범을 팔아 먹기 위해 개인정보를 불법으로 활용하는 경우입니다.
* 불법 개인정보 차단, 어떤 영향이 있나?
일단 엄청 불편해 집니다. 예전에 뭔가에 가입할 때 대충 고객 동의서 한 장에 체크 몇 개하면 됐는데요. 그 안에는 깨알같이 많은 개인정보 동의서가 담겨 있었습니다. 이제는 그런거 안됩니다. 어디에 어떤 정보를 제공할지 일일이 체크해야 합니다. 신용카드 하나를 만들 때 최소 삼사백개의 제휴점에 정보를 제공하게 되는데요. 포인트를 쌓고 할인을 받고 다 정보가 있어야 가능한 겁니다.
앞으로는 주민등록번호 등 필수 제공 항목을 제외하고 제휴사 정보 제공 등은 모두 선택 항목으로 들어갑니다. 개인이 확인하고 선택을 해야하는 거죠.
두 번째. 대출모집인 등이 없어질 것으로 보입니다. 제휴사 정보 제공하는데 뚜레주르에 할인 혜택 때문에 정보를 제공한다고 하면 동의할 수 있습니다. 그런데 대부업체에 정보를 제공한다고 하는데 동의할 사람이 누가 있겠습니까. 앞으로 대부업체에서 연락오면 100% 불법 정보라고 생각하면 됩니다. 저축은행이라고 해도 별 차이 없겠지요. 대출모집인이라는 직업 자체가 없어질 가능성이 높습니다.
그밖에 수많은 제도변화가 있는데 네이버에 대충 검색해봐도 알 수 있으니 생략하도록 하겠습니다. 대부분 금융회사에 관련된 내용이라 일반 고객이 특별히 알아야 할 것은 별로 없어 보입니다.
※생방송 '시사경제토크 시선視線'은 매주 목요일 오후 4시 20분에 방송되며 뉴스와 이슈를 심층적으로 분석하고 하는 MTN 경제토크쇼 입니다.
이 방송은 머니투데이방송 홈페이지 및 케이블방송에서 라이브로 시청하실 수 있습니다. 또한 방송 종료 후에는 인터넷 다시보기로 시청하실 수 있습니다.
