박세춘 금융감독원 부원장보는 19일 금융회사의 개인정보 유출과 관련해 "유출된 정보에는 금융 거래 정보가 포함되지 않아 2차 피해 가능성은 낮다"고 밝혔다.
그는 이날 열린 금융회사 개인정보 유출관련 긴급 브리핑에서 "카드 위변조에 필요한 비밀번호· 카드유효성검사코드(CVC)는 유출되지 않았지만 불안해 하는 고객들을 위해 신용카드 재발급 등의 조치를 취하겠다"고 했다.
그는 KB카드에 이어 국민은행의 개인정보 유출과 관련해서는 "금융지주법에 따라 계열사간 정보 공유가 가능하기 때문에 이런 일이 발생한 측면이 있다" 며 "정보 공유의 내부통제 시스템과 관련해 관련 위반 사례가 없는지 현장검사를 하고 있다"고 덧붙였다.
이날 브리핑에는 김영기 상호여전감독국장과 류찬우 여신전문검사실장 등 다른 관계자들도 함께 했다.
다음은 일문일답.
-3개 카드사 정보 유출에 이어 계열 은행에서도 개인정보가 유출됐다. 유출된 시민들이 상당히 불안해하는데 어떻게 불안을 해소할 건가?
"신용카드 고객의 결제 계좌는 포함된 것으로 확인됐다. 유출된 계열사 고객정보에는 국민은행 등 다른 계열사의 정보도 포함됐다. 예금이나 대출같은 구체적인 거래 정보가 아니라 개인의 신용 정보만 유출된 것으로 파악됐다. 계열사의 고객 정보 유출 피해가 발생하지 않도록 대책을 강구하고 있다. 일반 신용카드사의 고객 정보 유출과 같은 차원에서 제도를 마련하고 있다.
-KB국민카드를 쓰지 않는데도 정보가 유출됐다.
(정인화 개인정보보호단 실장) "CVC나 비밀번호가 암호화 됐기 때문에 위변조 위험은 없다. 희망하는 고객에게는 신용카드를 재발급 해주고, 카드가 사용되면 3개 카드사에서 실시간으로 카드 사용내역을 알려주고 있다.피해고객은 신고하면 다른 분쟁절차를 통해서 보상할 계획이다"
- 지난 금요일 이후 정보유출과 관련해서 유출된 정보의 유통 경로가 제대로 파악되지 않은 듯 하다. 현재까지 파악한 유통경로는?
"3개 카드사의 정보는 모두 압수됐고 조사 결과 그 이후 유통되지 않은 것으로 확인됐다. 16개 금융사는 스탠다드차타드(SC)은행과 씨티은행은 관련자 구속 후, 대출모집인이 갖고 있던 이동식디스크가 압수돼 그 이후 유통은 없는 것으로 확인됐다"
-해당 은행의 계좌가 없는데도 정보가 유출된 경우도 있다. 그 이유는?
"국민은행 등 계열사의 카드사에 보관되고 있던 것이 같이 유출됐다. 그래서 카드 거래가 없어도 일부 정보가 유출된 것이다. 현재 통보 절차를 진행중이다"
-이미 오래전 카드를 해지했는데도 정보가 빠져 나간 고객도 있는데, 카드가 해지되면 즉시 파기되는 것 아닌가?
"해지고객이나 휴면계좌, 법인계좌가 같이 유출된 것으로 파악됐다"
-신용카드사 정보는 국민은행 말고 다른 은행들의 계좌 정보도 유출됐다고 하는데?
"신용카드 사 유출 정보 중에는 신용카드 결제 계좌가 포함됐기 때문에 그렇다"
-카드 연결 계좌와 함께 국민은행의 경우 계열사 간의 정보공유 때문에 고객 정보가 유출된 것 같다. 농협의 경우는 어떠한가?
"KB카드처럼 계열사 정보를 보관하다가 유출된 경우, 롯데나 농협카드는 유출된 것이 없는 것으로 확인됐다"
-카드 해지고객의 정보는 법으로 몇 년간 보관하도록 돼 있나?
(류찬우 여신전문검사실장) "카드사의 경우 해지고객 정보는 5년간 보관되고 그 이후에는 폐기하도록 돼 있다. 이번 검사에서 5년이 지난 고객정보를 보유하고 있는 것으로 확인되면 관련 법규에 따라 제재 조치를 취할 것이다. 개인정보보호법에 따라 회사 내규로 정하도록 돼 있는데 금융사들이 대부분 5년으로 정해 놓고 있다.
- 5년 시한은 그럼 법에 근거한 것이 아니고, 금융회사들이 내규로 정한 것인가?
(류 여신전문검사실장) "개인정보보호법에서는 필요한 기간 이내에 개별 금융회사들이 구체적인 기간을 정하도록 돼 있다. 이 부분에 대해 사망자나 탈회 회원의 경우는 반드시 삭제해야 한다. 분쟁이나 금융감독원 검사에 대비해 별도로 분리해야 한다. 지난 7월 안행부와 금융위가 가이드라인을 마련해놨다. 그 부분에 대해 금융사들이 5년간 별도 보관을 하지 않은 부분에 대해서는 개인정보보호법 위반이다"
(김영기 상호여전감독국장) "5년 기한은 상법상 상업 장부의 보존기간도 있고 개별법률에 따라 10년도 있다. 일반적으로 특별법이 없는 개인정보는 필요한 기간 이내이며 별도로 보관해야 하는데, 지금으로서는 별도 보관하지 않았다는 것은 거의 확실하다"
-카드 번호와 유효기간 유출로 발생할 수 있는 2차 피해와 대비책이 무엇인가?
"영세매장이나 일부 가맹점은 카드사와 협약을 맺어 카드 번호와 유효기간을 수기로 기재하고 거래를 승인하는 경우가 있어 2차 피해가 발생할 수도 있다. 이런 경우는 카드사와 협의해서 후속조치를 취할 것이다"
(김 상호여전감독국장) "카드 번호와 유효기간만으로 거래하는 비대면거래(홈쇼핑, 방문판매, 보험판매)도 휴대폰을 통한 인증 등을 요구하기 때문에 피해를 어느정도 차단할 수 있다. 또 추가적인 인증 절차없는 거래도 물건을 배달한 사람에 의해 거래 내용이 확인된다. 또 거래 승인이 이루어지면 문자 서비스로 알려준다. 따라서 비대면 거래 부정 사용 발생은 개연성이 낮다"
-카드번호와 유효기간이 동시에 유출된 적이 있었나? 어느 수준까지 유출된건가?
"개별 카드사 유출 외에 대량 유출은 이번이 처음이다"
- 카드 번호와 유효기간이 모두 유출된 경우 의무적으로 카드사에서 재발급 해줄 계획은 없는지?
(김 상호여전감독국장) "번호와 유효기간이 빠져나가 모두 재발급해주는 것은 비대면 거래의 개연성이 낮아 현실성이 떨어진다"
-장·차관과 연예인 고객정보도 유출됐다고 하는데 확인된 것 있나? 1500만명 고객정보 유출된건가? 시중은행 고객정보 유출의 최초 인지시점?
"워낙 많은 정보가 유출돼 장·차관 연예인 고객정보도 유출됐을 수도 있다"
-시중은행의 고객정보 유출을 인지한 시점은 언제인가?
"작년 12월 말경 검찰수사 발표로 스탠다드차타드 은행과 씨티은행의 유출 여부를 알았다. 검찰에게 여타 금융회사 정보도 포함됐다는 내용을 통보 받고 이동식저장장치(USB)를 받아 그 정보를 금융회사 별로 분류했다. 올해 초에 해당 금융사에게 고객인지를 확인토록 한 결과 2~3%만 고객인 경우도 있었고 30-40%가 고객인 경우도 있었다. 고객 비율이 높은 금융사의 경우 해당 금융사 데이터베이스에서 유출됐을 가능성도 있기 때문에 자체 점검을 하도록 했다. 16개 금융사의 고객정보 대부분이 전화번호, 또는 전화번호와 성명이라 금융사 DB에서 유출된 것이라고 단정할 수 없다. 추후 유출 사실이 확인될 경우에 다시 설명하겠다.
-KB국민카드의 계열사는 추가로 어떤 정보가 유출됐나?
(류 여신전문검사실장) "KB국민카드의 경우 어느 계열사에서 나갔는지 검사할 예정이며, 유출된 정보는 결제 은행명과 계좌변호다"
-피해 인원수는?
"현재 1억400만건이 유출됐다. 카드별로 각각 롯데·농협카드는 2000만건, KB카드는 4000만건이다. 중복자를 빼면 최소 4000만명이다"
-롯데, KB 카드는 회원수대비 유출건수가 많다. 다른 이유가 있는 것은 아닌가?
"카드사 별로 사망회원이거나 탈회회원, 또 가맹점의 정보까지 유출된 것으로 본다"
-해외 사이트 결제는 카드 유효기간만으로 거래가 승인되는데, 해외 사이트 사이트에서 부정사용이 일어날 가능성이 있지 않나?
(김 상호여전감독국장) "해외 사이트에서도 승인 시점에서는 승인이 통지가 된다. 카드 부정사용 있으면 고객에게 알려준다"
- KB카드의 경우 다른 회사 카드의 거래 내역도 갖고 있다가 정보가 유출됐다는 것인가?
"카드사 시스템 상 다른 회사 거래 고객에 대한 정보를 가지고 있는 경우가 있다. 또 타사 카드 정보를 여신협회를 통해 공유하는 경우도 있다. 그래서 정보 공유가 있을 것으로 보고 있다"
-고객들이 카드사 홈페이지에서 정보 유출을 확인할 수 있는데 금융당국도 카드사도 어떤 정보가 어느 정도나 유출됐는지 모르는 것 같다. 유출된 정보의 범위가 더 늘어날 수 있나?
"본인이 카드 회원으로 가입할 때 기입하는 항목이 달라 개인별로 유출된 정보가 다르다. 기본적인 개인정보 항목은 유출여부를 모두 조회할 수 있다"
-2차 피해는 거의 없다고 보고 있는 것 같은데, 피해가 정보 유출로 발생한 것인지 금융사기로 발생한 것인지 어떻게 구별하나? 원인 규명은 누구에게 있나?
"개별 사안별로 검토해야 한다. 무조건적인 피해보상은 아니다"
-고객들의 불안감을 이용한 보이스피싱도 일어날 수 있는데 이런 경우 피해 구제가 가능한가?
"새로운 유형의 금융사기가 기승을 부릴 수 있다고 보고 있다. 카드사 홈페이지에도 게시돼 있다"
-국민은행의 정보는 국민카드사가 어떤 경위로 그걸 가지고 있나?
"현장검사를 통해 확인중이지만 현재는 국민카드사가 분사할 때 국민은행 고객정보가 같이 넘어온 것으로 보인다. 금융지주법에 따라 계열사간 정보 공유가 가능하기 때문에 이번에 정보 합동 대책반에서도 이런 부분에 대한 제도 개선이 필요하다고 보고 있다"
-카드 재발급 외에 다른 대책은 무엇이 있나?
"카드 비밀번호나 CVC값이 유출되지 않았기 때문에 카드의 위변조나 불법 사용 가능성은 낮다. 불안해 하거나 다른 사고를 우려하는 고객에게는 재발급해주거나 비밀번호를 교체해 주도록 했다"
-즉시 카드 재발급이 가능한가, 일시에 고객이 몰릴 가능성이 높은데….
"거래정보가 유통되지 않았기 때문에 2차 피해는 없을 것이라고 보고 있다. 그럼에도 불안한 고객이나 사고를 우려하는 고객에 대해서는 교체해주겠다는 의미다. 일시에 모든 고객이 원하면 시간은 다소 소요될 것으로 보인다"
-3개 카드사 피해자 수는?
"3개 카드사 피해자 수는 지금 분석 중이다. 3개 카드사의 복수카드 소지자가 많아서 순수한 인원수는 줄어들 것이다. 하지만 카드사 별로 유출된 정보 건수와 피해자 수는 얼마나 차이가 있는지에 대해서는 확인 작업 중이다"
-개인정보 유출 여부를 확인할 때 인터넷으로만 확인 능한가?
"홈페이지에서도 확인되고, 개인들에게 우편이나 이메일로 통보해준다."
-카드사 홈페이지 접속이 안되는 문제도 있지 않나?
"그런 것에 대비해서 일단 서면 발송을 준비하고 있다. 개인정보보호법상 5일 이내 통보해야 한다. 그 기간 이메일과 서면으로 준비중이다. 이메일에 사이트 주소를 연결해서 스미싱이 발생할 수 있다. 그러나 사이트에 연결되는 경우는 모두 사기라고 본다"
- KB은행에서는 은행 정보가 아니라 카드사의 정보라고 주장하는 상황이다. 피해규모가 파악되기 전부터 금융회사들은 은행계좌가 아니라고 주장한다. 책임 소재를 규명하는 게 어렵지 않은가?
"KB카드에서 유출된 은행 정보는 계좌 정보가 아니라 개인 인적사항에 대한 정보다. 다만 피해 고객이 은행 고객이냐 카드 고객인가하는 문제가 있다. 책임 소재는 현장 검사를 통해 확인중이다. 그 부분은 어렵지 않게 규명될 것으로 본다"
-카드사들은 현재 개인 고객만 확인해주고 있는데 법인 카드 고객의 경우에는 어떻게 하나?
"개인정보법이나 개인신용정보법은 개인정보를 규율하는 법이기 때문에 법인정보는 국한되지 않는다. 법인은 일단 전화번호가 없기 때문에 피해 유형은 개인과 다를 것이다. 다만 법인 정보 유출의 피해 유형에 대해 살펴보고 있고, 고민중이다."
-카드사별로 유출된 항목이 다른데 3개사별로 가장 많이 유출된 고객은 몇가지인가?
"카드사 별 항목별 유출 건수는 기본적으로 19개 항목이다. 19개 항목에서 부수적인 항목이 포함된 경우도 있을 것이다. 부수적인 정보가 포함된 경우에는 개인별로 카드사별로 유출된 정보 건수는 다르다.
-금융지주사법에 따라 계열사 간 정보를 공유하는 것은 불법이 아니라서 제재가 어렵지는 않은가?어떤 정보를 공유할 때는 문제가 되는가?
"지주법에 의해 정보는 공유하되 내부통제 시스템을 갖추도록 돼 있다. 관련 위반 사례가 없는지 현장검사를 하고 있다"