슬픈 예감은 틀린 적이 없습니다. 1월 초에 국민카드, 농협카드, 롯데카드 개인정보 유출 사고가 터졌다는 소리에 놀라지도 않았습니다. 한 두번 개인정보 털리나요? 이미 중국으로 대한민국 모든 국민의 주민등록번호와 이름 주소를 다 가지고 있을 것입니다. 그렇게 대수롭지 않게 생각 했습니다. 그러나 생각해보니 좀 문제가 심각 합니다. 지난 번 네이트나 옥션 해킹 같은 경우는 끽해야 이름, 주소, 전화 번호 등의 간단한 개인 정보였지만 카드 회사가 가지고 있는 정보는 차원이 다릅니다. 그렇게 며칠 간 이 사건을 지켜보고 있었는데 드디어 어제 개인정보 유출 결과가 나왔습니다.
현재, 국민카드, 롯데카드, 농협카드 홈페이지에 가면 개인정보 유출 정도를 확인 할 수 있습니다.
심각성의 차원이 다른, 카드 회사의 신용 정보 유출
저 같은 경우는 유출 정보가 다른 분보다 무척 많습니다. 주거 상황, 이용실적금액, 연소득, 신용한도금액, 신용등급 등의 민감한 신용정보까지도 유출 되었습니다. 이번에 유출된 신용정보 건수는 1억 4백만 건으로 이중 절반 이상이 민감한 신용정보입니다.
이 신용정보가 경찰에서는 밖으로 유출 되지 않았다고 말하고 있습니다. 그러나 이건 신용 정보를 훔친 외주 직원의 PC와 노트북만 조사한 것이지 PC방에서 중국 등 해외로 정보를 간단하게 전송 했을 수도 있습니다. 지금 많은 사람들이 이런 해외 유출 여부 때문에 노심초사하고 있습니다.
물리적 보안을 소홀히한 국민카드, 롯데카드, 농협카드
매년 금융권은 해킹에 대비하기 위해서 600억 원에 가까운 돈을 보안에 투자를 합니다.
또한, 개인 PC 보안을 위해서 은행이나 카드회사 홈페이지에 접속하면 수십 개의 보안 관련 프로그램을 깔아야 합니다.
이렇게 깔아 되는 보안 프로그램은 전국민의 PC 속도를 느리게 하는 원인이 됩니다. 이런 엄청난 자원 낭비를 하고 고객들의 불만의 소리를 듣고서도 보안 프로그램을 더 많이 설치하는 이유는 해킹에 대한 위협 때문입니다. 고객의 불만과 불편 보다는 해킹에 대한 두려움도 더 크기 때문에 지금도 은행과 카드사는 그렇게 많은 보안 프로그램을 설치하라고 강요합니다.
그런데 해킹 대부분은 사회 공학적 해킹과 내부 해킹이 더 많습니다. 상대적으로 아는 사람에 대한 신뢰도 때문에 우리는 경계를 늦춥니다. 해킹도 내부 해킹이 더 큰 위협입니다. 외부에서 침입하는 도둑은 2,3중의 보안으로 막을 수 있지만 식구의 도둑질은 막기 힘듭니다. 특히나 소액으로 야금 야금 가져가는 행동은 거의 걸리지 않죠.
아버지 지갑을 통째로 훔치면 걸릴 수 있어도 주머니에 있는 동전을 훔치면 거의 걸리지 않습니다.
그런데 이번 해킹 사고는 KB카드나 롯데, 농협카드가 개인의 신용정보가 있는 중요한 자료를 외부 직원에게 전적으로 다 맡겨서 일어난 사고입니다.
이번 신용정보 해킹 사건은 외부업체인 신용평가업체 코리아크레딧뷰에서 근무하는 A모씨(39)가 USB로 조금씩 조금씩 고객 정보를 외부로 반출 해서 일어난 사건입니다. KB카드는 5천3백만명, 롯데카드 2천6백만명 NH농협카드 2천5백만 명의 정보를 유출 했습니다.
보통 이런 중요한 정보는 카드사 직원이 아니면 열람할 수 없고 외부 직원이 업무상 열람을 하더라고 열람 기록을 적어 놓거나 아니면 옆에서 지켜봐야 합니다. 아니면 CCTV를 설치해서 무슨 행동을 하는지 체크를 해야 합니다. 이는 아무리 신원이 확실하고 업계에서 유명한 사람이라도 예외는 없습니다. 사람 속은 아무도 모르기 때문이죠.
또한, 유출을 하더라도 암호화 시켜 놓으면 언젠가는 풀 수 있다고 하지만 그 들이는 시간과 비용 때문에 아예 포기를 하는 경우가 많습니다. 그래서 삼성카드나 신한카드 등은 코리아크레딧뷰에 똑같은 시스템을 구축 업무를 맡겼지만 이번 신용정보 피해에서 빗겨갈 수 있었습니다. KB카드 같은 경우는 규모가 가장 큰 회사인데 이 회사가 이렇게 허술하게 고객 정보를 관리 했다는 자체가 놀랍기만 하네요.
신용정보 털린 고객은 뭘 어떻게 해야 하나?
조만간 피해 고객에게 문자와 전화로 피해 사실을 직접 카드 회사에서 알려 줄 것입니다. 그때 물어보세요. 뭘 어떻게 해야 하냐고요. 그러나 딱히 피해 고객이 할 것은 없습니다. 정 불안하면 카드 재발급 신청을 하거나 다른 카드사로 카드를 교체할 수 있습니다. 그러나 이 교체 비용이 또 들어갑니다.
카드 회사는 아직까지 피해 사례가 없다고 하고 있습니다
다행스럽게(?) 카드로 결제를 할 때 필요한 CVC 번호와 비밀번호 등은 유출되지 않은 것으로 파악된다고 하는데요.
직접적인 피해는 없지만 2차 피해가 문제입니다. 2차 피해란 저 신용정보가 고스란히 중국으로 넘어가 보이스 피싱에 악용될 확률이 높기 때문입니다. 특히나 신용등급이 낮은 사람에게는 집중적으로 대출 권유 텔레마케팅 전화가 집중적으로 갈 것이고 사람이 한 순간 나약해지면 쉽게 그런 유혹에 빠져들 수 있습니다.
이런 식으로 마이크로 타케팅을 할 수 있을 정도로 유출된 신용 정보가 많은 분들은 아주 비싼 가격에 신용정보가 수 많은 업체에 판매 될 수 있습니다. 문제는 이런 피해를 당하고도 피해자인 우리는 뭘 할 것이 딱히 없습니다. 기껏해야 집단 소송을 하는 방법 밖에 없는데 구체적인 피해 사례를 고객이 입중해야 하는데 구체적인 피해 사례를 찾기 힘듭니다. 예를 들어서 이 유출된 신용 정보로 인해 2차 피해로 보이스 피싱을 당했다고 입증하려면 보이스 피싱 업체에 대한 조사도 해야 하고 구체적인 피해액이 발생해야 합니다. 따라서 입증 자체가 무척 어렵습니다.
그래서 무엇보다 고객의 신용정보 특히 내가 뭘 샀는지를 알 수 있는 결제 정보를 잘 관리 해야 하는데 그 책임을 다 하지 못했습니다.
OTP로 암호 보안을 강화 해라
개인이 보안을 강화하는 수 밖에 없는데 그 중 하나가 OTP라고 하는 1회용 패스워드 생성기를 은행에 요청해서 구매해서 사용하는 것입니다. 저는 이 OTP를 이용해서 거래 사고나 해킹에 대비하고 있습니다.
2009/03/06 - [삶/세상에대한 단소리] - 불안한 인터넷뱅킹 보안카드대신 OTP(1회용 패스워드)를 사용해라 를 참고하세요. 그러나 이번 사건은 비번 해킹 사고가 아니라 2차 피해인 보이스 피싱이 더 큰 걱정이네요.
1차 책임은 금융감독원, 금융감독원장은 사퇴해야 한다
이번 사건이 처음이라면 은행과 카드사를 관리 감독하는 금융감독원의 책임이 적을 수 있습니다.
그러나 이번이 처음이 아닙니다. 2011년 현대캐피탈 정보유출과 농협전산망 마비가 있었습니다. 그런데 당시 김석동 금융위원장과 권혁세 금융감독원장은 아주 허술하게 이 사안을 덮고 넘어갔습니다.
그냥 주의 정도로만 넘기고 말았죠. 관리 감독해야 하는 정부 기관이 이렇게 허투루 대응을 하니 이번에 사고가 터진 KB카드나 농협카드, 롯데카드는 그냥 가볍게 넘어갔습니다. 이미 보안 사고가 터졌다면 전 금융권을 전수 조사해서 어느 정도 보안에대한 대책을 하고 있는지 체크를 하고 미흡한 금융사는 고강도의 제지를 했어야 합니다. 그런데 설렁 설렁 넘어갔습니다.
이번에도 마찬가지입니다. 1월 8일 신제윤 금융위원장과 최수현 금감원장은 재발방지를 당부만 하고 있습니다. 지금 저를 포함한 국민들의 분노가 높습니다. 꼴랑 1년에 3,600원 밖에 안 하는 결제 무료 문자 서비스나 신용조회 서비스를 무료로 하는 것으로 퉁치려고 하고 있습니다. 수시로 불시의 보안 점검이나 민방위 훈련처럼 방어 공격 훈련을 해도 모자를 판에 이렇게 넋놓고 있습니까? 지금 가장 고개를 숙여야할 곳은 금융 당국입니다. 당신들이 개판으로 관리 감독 하니까 이 사태가 일어난 것 아닙니까? 금융 당국의 안이한 문제 의식이 대형 사고를 터트렸네요
이러니 매번 큰 보안 사고가 터지고 대책도 안 나오는 것 아닙니까? 국민들은 정말 매번 당하고만 살아야 합니까? 누구 하나 제대로 된 대책도 사과도 없습니다. 속 터지는 날이네요. 금융감독원 원장은 당장 사태하는 길이 사죄하는 유일한 길입니다.
