-개인정보수집 동의 강요, 사실상 폭력
-금감원 대책? '소나기만 피하는 식
-큰 피해에는 큰 배상하게 해야
■ 방송 : CBS 라디오 FM 98.1 (07:00~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 박세춘 (금융감독원 부원장보), 제윤경 (에듀머니 대표)
카드회사의 개인정보유출사건. 일파만파입니다. 대한민국의 모든 성인들의 정보가 털렸다 해도 과언이 아닌데요. 건수로는 1억 400만 건이 넘고요. 고객수로는 약 4천만 명, 이중에 사망자, 중복자 제외한다고 해도 2천만 명으로 추산이 됩니다. 지난주까지만 해도 이제 외주업체 직원이 자신이 관리하던 신용카드 3개 회사의 회원들 정보를 빼냈다 정도로만 알고 있었는데 조사를 해보니까 그 이상의 것들이 있었던 겁니다. 도대체 왜 이런 어처구니없는 일이 계속 이어지는 건지, 개인정보 털린 소비자들은 어떻게 해야 되는 건지 짚어보죠. 먼저 금융감독원 박세춘 부원장보 연결이 되어 있습니다. 부원장님 나와 계십니까?
◆ 박세춘> 안녕하십니까?
◇ 김현정> 지금 박근혜 대통령 정보도 유출됐다는 이런 뉴스도 있던데요. 박세춘 부원장님도 피해 당하셨어요?
◆ 박세춘> 아직 확인을 못했습니다. 3개 카드사 거래 고객의 경우에는 워낙 많은 정보가 털렸기 때문에 아마 피해자가 될 수 있을 것으로 지금 추정이 됩니다.
◇ 김현정> 애초에는 국민카드, 농협카드, 롯데카드의 이용자들의 정보만 유출됐다 이렇게 알고 있었는데 지금은 그 카드회사와 거래하는 16개 기관이 더 추가가 된 거죠?
◆ 박세춘> 그 부분은 검찰에 구속된 대출 모집인이 가지고 있던 USB에서 나머지 16개 금융사의 고객정보, 전화번호와 성명이 대부분입니다마는 고객정보가 포함되어 있는 사실이 확인은 되었는데 그 자료가 해당 금융회사에서 유출이 된 것인지에 대해서 지금 확인을 하고 있습니다.
◇ 김현정> 16개 기관이 추가된 건 맞지만 어떻게 해서 추가가 된 건지 확인이 필요하다 이 말씀이세요?
◆ 박세춘> 그렇습니다. 당해 전화번호가 당해 금융회사에서 유출이 된 것인지에 대해서는 아직 확인을 진행하고 있다는 말씀입니다.
정보유출 확인 페이지(자료사진=캡처)
◇ 김현정> 지금 뉴스가 나오고 있기로는 제가 국민카드 회원 가입했다 하면 그때 결제은행으로 신한은행을 했다, 그래서 그 계좌번호를 기입을 했는데 그게 유출이 됐다 이렇게 알려져 있는데 꼭 그런 것만이 아닐 수도 있다는 말씀이세요?
◆ 박세춘> 그 부분은 별건의 문제인데요. 일단 3개 카드사의 결제계좌는 일단 유출된 정보에 포함이 되어 있습니다.
◇ 김현정> 그건 확실하다는 말씀이시군요. 그 외에 그것과 상관없이 또 털린 정보들이 있는 부분, 그 부분은 어떻게 된 건지 조사중이다 이 말씀이시군요.
◆ 박세춘> 그렇습니다.
◇ 김현정> 알겠습니다. 이번에 잡힌 유출자의 USB 안에는 말하자면 제 이름, 주민번호, 주소, 전화번호, 신용카드번호, 은행계좌번호, 신용등급은 몇 등급 이런 게 다 들어 있었어요.
◆ 박세춘> 카드사별로 유출된 정보가 14개에서 17개 항목 정도가 되는데요. 일단 중요한 카드 비밀번호나 CVC정보는 일단 유출이 되지 않은 것은 확실합니다.
◇ 김현정> CVC정보라면 카드 뒷면 마지막 3개의 숫자. CVC 정보만은 유출이 안 됐다, 비밀번호와?
◆ 박세춘> 네 그렇습니다.
◇ 김현정> 다행히 그 두 가지는 유출이 안 되긴 했습니다마는 지금 사실은 카드번호와 유효기간만 가지고도 구입할 수 있는 상품들이 꽤 많거든요. 해외 직구도 그렇고요. 하다못해 피자 주문할 때도 유효기간하고 번호만 알면 할 수 있어서요.
◆ 박세춘> 지금 일부 비대면 거래가 이루어지고 있는 건 사실입니다. 그 경우에도 대부분 휴대폰 검증이라든지 또 본인 사용내역 통보 알림 서비스를 통해서 본인한테 사전통지가 가는 경우가 있기 때문에, 가는 경우가 많기 때문에 상당부분 예방이, 부정사용이 예방될 수 있을 것으로 보이지만 만약에 부정사용이 있더라도 그 부분은 카드사에서 전액 보상을 해 주고 있습니다.
◇ 김현정> 내가 사용한 게 아닌데 문자로 알림서비스가 오면 그러니까 바로 신고를 해야 되는 거군요, 카드사로. 그러면 보장받을 수 있다.
◆ 박세춘> 그렇습니다. 본인이 사용하지 않은 카드명세서 통보가 오면 바로 카드사에 확인을 하셔야 합니다.
◇ 김현정> 아까 최대 19개 항목이라고 하셨어요. 거기에는 여권번호까지 들어있다라는 얘기도 있던데 사실인가요?
◆ 박세춘> 카드회원 가입 신청시에 필수기재항목은 아닙니다마는 여권번호를 기재한 경우에는 그 여권번호도 유출된 사례가 있는 것으로 지금 파악이 되고 있습니다.
◇ 김현정> 여권번호까지. 이용실적은 당연히 들어갔겠군요.
◆ 박세춘> 예, 그렇습니다.
◇ 김현정> 연봉이 들어간 경우도 있다면서요?
◆ 박세춘> 그런 기본 항목 이외에 부수적인 정보가 있는 카드사도 있습니다마는 일단 본인이 카드신청서에 기입한 정보의 경우에는 유출된 정보에 포함이 되었다고 판단이 됩니다.
◇ 김현정> 지금 조사 중에 있다고 말씀하셨지만, 이 부분 말입니다. 지금 국민, 롯데, 농협카드 회원이 아닌데도 정보를 유출 당한 사람들. 그 경우는 왜 그런 것으로 예측을 하고 계세요?
◆ 박세춘> 지금 3개 카드사 고객이 아닌데 유출된 부분은 KB국민카드에서 계열사, 국민은행 등 계열사 정보를 보유하고 있던 부분이 유출된 게 있습니다.
◇ 김현정> 그러니까 3개 카드회사, 국민카드를 만든 적도 없지만 국민은행 거래하는 사람의 정보도 국민카드측이 가지고 있었다고요?
◆ 박세춘> 네 그렇습니다. 그 정보가 유출된 데 따른 것으로 지금 파악이 되고 있습니다.
◇ 김현정> 이게 법적으로 가능하게 돼 있죠, 지금?
◆ 박세춘> 그렇습니다. 금융지주회사법에서 계열사 간 정보 공유는 허용은 되어 있습니다.
◇ 김현정> 법적으로 금융지주사가 자회사들이 수집한 정보를 다 이용할 수 있도록 된 부분.
◆ 박세춘> 예, 그렇습니다. 일단 그렇더라도 계열사 정보 공유에 따른 내부통제 시스템을 갖추도록 되어 있는데 그 부분에 문제가 없었는지에 대해서는 저희가 현장검사를 진행 중에 있습니다.
◇ 김현정> 부원장님, 보시기에 지주사가 자회사들 회원정보까지 모조리 볼 수 있도록 한 이 부분 너무 과한 허용 아니었나요?
◆ 박세춘> 그렇습니다. 지금 그 부분에 대해서 문제점이 있다고 판단하고 지금 관련 기관간 대책 TF에서 제도개선여지가 없는지에 대해서 지금 논의를 하고 있는 것으로 이렇게 알고 있습니다.
◇ 김현정> 그런데 이런 정보유출 문제가 한두 번이 아니죠?
◆ 박세춘> 사실 그간 정보유출사고는 해킹에 의한 사고가 있었고 부분적으로 사고가 있었습니다마는 이번에 지금 관련기관 간의 협의 절차를 진행 중에 있습니다마는 근본적이고 종합적인 대책을 지금 마련 중에 있습니다.
◇ 김현정> 항상 대책을 종합적으로 마련하겠다고 합니다만 나중에 보면 벌금 600만원 내고 관련자들 간단하게 징계받고 끝나는 경우가 많더라고요. 솜방망이 아닙니까?
◆ 박세춘> 그 부분, 그간의 제재가 너무 약하지 않았냐 하는 이런 지적에 대해서도 저희들이 충분히 문제점을 인식하고 이번에 종합적인 제재 강화 방안을 포함해서 전반적으로 지금 문제점을 점검하고 있다는 말씀을 드리겠습니다.
◇ 김현정> 이번에는 정말 어물쩍 넘어가는 일은 없었으면 좋겠습니다.
◆ 박세춘> 예, 알겠습니다.
(자료사진)
◇ 김현정> 금감원의 박세춘 부원장보 먼저 연결을 해 봤습니다. 대체 왜 이런 일이 계속 벌어지는 건지. 에듀머니의 제윤경 대표 바로 이어서 연결합니다. 제 대표님 나와계세요.
◆ 제윤경> 안녕하세요.
◇ 김현정> 이번 사상초유의 정보유출 사건. 도대체 근본원인, 뭐라고 보십니까?
◆ 제윤경> 일단 조금 전에 부원장님께서도 말씀하신 것 같은데. 일단은 제도상으로 구멍이 많은 것이 문제입니다. 개인정보라 그러면 굉장히 민감한 것이기 때문에 잘못 유통되는 과정에서 보이스피싱이라든가 스미싱이라든가, 개인들에게는 상상하기 힘든 고통이 가해지는 피해들이 많이 발생하고 있거든요. 그래서 무엇보다도 이것을 제도적으로 막을 생각을 해야 되는데 사실 이렇게 신용정보법이라든가 아니면 금융지주회사법에 의해서 이런 개인정보들이 금융회사라고 해서, 금융지주회사라고 해서 자회사 정보를 마음껏 활용할 수 있다. 그리고 또 신용정보보호법에 의해서 신용정보회사들이 여러 금융회사에서 받은 개인정보를 다른 금융회사에 판매하거나 가공된 정보들을 비금융기관에 제공하는 행위들을 허용하고 있거든요. 그래서 한마디로 우리한테는 굉장히 중요한 정보인데 금융기관과 그 관련기관에는, 관련회사에는 사실 이게 돈벌이 수단으로 전락하고 있기 때문에 그런 과정에서 사실은 모럴헤저드가 극대화되고 이를 보호해야 되겠다는 제도적 시스템 이런 것에 대해서는 비용의 관점으로 사실 접근하고 있는, 굉장히 문제가 심각한 근본적인 원인이 있는 것 같습니다.
◇ 김현정> 저는 비단 금융기관뿐 아니라 인터넷상으로 회원가입 받는 모든 업체들이 너무 과도하게 내 정보를 빼가는 건 아닌가 이런 느낌을 많이 받아요. 무슨 말이냐 하면 당신의 회원정보를 어디어디 다른 곳에 이용하는 것 동의하십니까? 이거 체크 안 하면 화면이 안 넘어가게 돼 있거든요. 이런 과도하게 정보를 수집하는 문제, 이 자체가 문제 아닌가요?
◆ 제윤경> 맞습니다. 개인정보 수집에 대해서 그리고 유통에 대해서 동의하지 않으면 그 서비스를, 해당 서비스를 이용할 수 없다는 이런 걸 거의 폭력이라고 저는 생각을 하고요.
◇ 김현정> 이번에도 마찬가지입니다. 내가 국민카드 이용하고 있지 않은데 국민은행에 회원으로 가입하려면 국민카드쪽에도, 모든 KB쪽의 자회사에 내 것을 넘길 수 있다, 정보를. 여기에 체크를 안 하면 안 넘어갔던 거예요. 이런 사람들이 다 걸린 거죠, 지금.
◆ 제윤경> 사실 신용카드나 메신저만 사용 안 해도 이런 개인정보 유통에서 조금 자기를 보호할 수 있는 측면이 있습니다. 그래서 개인적으로 신용카드를 사용하고 있지 않은데도 불구하고 얼마 전부터 이상한 게... 이전에는 이런 스팸문자나 이런 게 없었는데 얼마 전부터 과도하게 스팸문자가 날아오기 시작해서 사실 잠깐 의심을 하고 있었습니다, 이거 개인정보가 팔린 것이 아닌가. 그런데 지금 이번 사태에서 보면 개인정보 유통과정이 너무나 사실은 보호보다 수익쪽에 포커스가 맞춰져 있다 보니까 해당 금융사를 이용하지 않는 고객의 정보까지도, 심지어 포인트 적립카드까지도 사실은 다 털린 것 같다. 이런 얘기가 나오고 있으니까 정말 대한민국은 개인정보유출공화국이다, 이런 말이 과하지 않은 그런 현실인 것 같습니다.
◇ 김현정> 지금 금감원에는 금융 기관 수장들 모아서 단단히 주의시켰다고 하고요. 3개 카드회사 정보 관리하던 문제의 민간업체 KCB에서는 사과문 올렸고 직원윤리, 보안교육 강화하겠다고 밝혔습니다. 이 정도 대응이면 되겠습니까?
◆ 제윤경> 사실은 지금 사람은 죽어나고 있는데 미안하다. 그리고 전혀 개선되지 않는 그런 일들이 반복되도록 놔두고 있는 것이 문제거든요. 항간에는 그런 얘기가 있습니다. 금융기관에서는 소나기만 피하면 된다.
◇ 김현정> 그게 무슨 말이죠, 소나기만 피하면 된다?
◆ 제윤경> 지금 이렇게 세간의 관심이 집중되어 있을 때 열심히 사과하고 이 논란이 좀 비껴가기만, 잦아들기만을 기다리면 된다, 이런 식이 아니냐.
◇ 김현정> 시간이 약이다, 한마디로?
◆ 제윤경> 그렇죠. 수년간 개인정보유출사건이 반복되어 왔는데 그때마다 금감원에서 했던 얘기는 고객정보의 외주업체든 3자 제공을 통제하고 보유기간경과, 처리목적달성, 고객정보를 파기하고 이런 걸 주문했고 사과하고 단속하겠다, 이런 내용들, 이런 발표, 보안대책 이런 것들이 사실은 문장마다 쓰인 단어도 비슷하고 거의 내용이 같다. 반복적이지 않느냐. 사실 금감원이 이전에 저축은행 사태 때도 이런 사태는 재현되지 않는다 하고 저축은행에 영업정지나 이런 사태들이 거의 계속 1년간 반복이 된 적도 있었잖아요.
◇ 김현정> 그렇죠. 어떤 대책이 필요하겠습니까? 좀 근본적인 대책, 뭐가 필요할까요?
◆ 제윤경> 일단은 저는 개인정보수집에 있어서 소비자들이 대항할 수 있는 권한이 있어야 한다고 보고요. 그리고 일단 사후 대책으로 한번 이런 보안상에 구멍이 발생했을 경우 제대로 관리하지 않으면 회사가 망할 수도 있다는 일종의 금전적인 충격을 주는 것이 좀 필요합니다. 미국 같은 경우는 사전규제는 느슨한 편이지만 사후 규제가 굉장히 강화돼 있습니다. 그래서 집단소송이라든가 아니면 대표소송을 통해서 징벌을 할 수 있기 때문에, 회사가 조심할 수 밖에 없거든요. 그런데 이번에 미안하다며 대책이라고 내놓은 걸 보니까... 어마어마한 개인정보유출을 해놓고 유료정보보호 문자서비스 해준다는 거 잖아요. 회사마다 조금씩 금액은 다르지만, 월 300원 정도 받는 그런 서비스 아닙니까? 이런식이 아니라 실제로 어마어마하게 피해발생에 대해서 금전적 피해배상을 할 수 있도록 소송제도를 바꾸는 것이 근본적으로 필요한 것 같습니다.
◇ 김현정> 회사가 망할 수도 있다 정도의 어떤 경고가 있어야 된다는 이 말. 가볍게 듣지 않았으면 좋겠네요. 제윤경 대표님, 고맙습니다.