이 기사는 2014년 02월 10일 15:51 thebell 에 표출된 기사입니다.

카드사 정보유출과 관련해 국회 정무위원회까지 국정조사를 진행 중인 가운데 사고를 예방한 신한카드와 삼성카드의 비결에 관심이 쏠린다. 이들 카드사는 "특별한 사건 방지책이 있었다기 보다는, 전자금융감독규정에 명기된 기본 규정을 지켰을 뿐"이라고 강조했다.

10일 금융권에 따르면 금융감독원은 정보유출 사건이 발생한 KB국민카드, NH농협카드, 롯데카드를 비롯해 전업 카드사와 전 금융회사를 대상으로 개인정보 관리 실태를 조사 중이다. 카드 3사에 대한 징계는 오는 14일 열리는 금융위원회에서 확정될 예정이다. 검사 결과는 아직 발표하지 않았지만, 금융당국에서는 이들 카드사가 부정사용방지시스템(FDS·Fraud Detection System) 고도화 작업과 관련해 코리아크레딧뷰로(KCB)에 외부주문을 맡기며 전산자료를 암호화하지 않고 그대로 넘겨 정보유출 사고가 일어난 것으로 보고 있다.

문제는 자료의 암호화는 금융회사의 기본 의무였다는 점이다. 금융위원회가 2011년 10월부터 시행한 '전자금융감독규정'의 13조(전산자료 보호대책)에 따르면, 금융회사는 이용자 정보의 조회·출력에 대한 통제를 하고 테스트 시 이용자 정보를 사용할 수 없다. 다만 부하 테스트 등 사용이 불가피한 경우 이용자 정보를 변환해 사용하고 테스트 종료 즉시 삭제해야 한다.

신한카드와 삼성카드의 경우 지난해 KCB에 카드 3사와 비슷한 내용의 FDS 고도화 작업 프로젝트를 발주했으나 기본 원칙을 지켜 사고를 방지할 수 있었다. FDS는 외국에서 다량의 거래가 발생하는 등 사용자의 프로필과 거래 내역이 일치하지 않을 경우 의심거래로 분류하는 시스템이다. 사용패턴을 기반으로 하는 시스템인 만큼, 시스템이 제대로 작동하는지 테스트하기 위해서는 데이터를 돌려봐야 한다.

이 과정에서 신한카드의 경우 KCB에 변환된 가상의 고객 데이터를 제공했다. 가짜 이름과 가짜 주민등록번호를 사용하는 식이다. 물리적 보안 측면에서도 개인 PC는 사용하지 못하고, 신한카드에서 제공하는 PC만을 사용할 수 있도록 해 정보유출의 가능성을 차단시켰다.

삼성카드는 2011년에 내부 직원이 정보를 외부로 유출했던 사건으로 곤욕을 치른 적이 있어 기본적으로 전산자료 이용이 엄격히 제한돼 있다. 삼성카드는 △USB 등 이동식 저장매체에 대해 정보저장을 할 수 없고 △모든 개발자의 PC에 자료 저장을 할 수 없고 △외부로 메일 발송 시 파일을 열람할 수 없으며 △외부개발자가 프로젝트를 마치면 사용한 PC의 하드디스크를 포맷하는 동시에 △PC의 외부반출을 금하고 있다. 부하 테스트 시 가상 데이터를 제공하는 것은 당연하다.

물론 카드사별로 사정은 달랐다. 2012년 말 NH농협카드를 시작으로 카드사들은 KCB에 비슷한 시기에 FDS 발주를 줬다. 한 사람이 동시에 여러 곳에 있을 수 없었기 때문에, 정보를 유출한 KCB의 박 씨가 맡았던 업무는 카드사 별로 차이가 있었다. KB국민카드와 롯데카드 등에서는 프로젝트 총괄 책임자로 일을 하고 신한카드와 삼성카드에서는 비상근으로 부수적인 업무만을 도왔다. 박 모 씨는 신한카드에서는 화면개발 업무를, 삼성카드에서는 데이터 로직 개발 업무를 맡았다. 정보가 유출된 카드 3사와 달리 박 씨 개인이 데이터에 접근할 수 있는 권한에 제한이 있었다는 설명이다. 박 씨는 신한카드에도 변환되지 않은 고객 데이터를 요청했으나 거절당한 것으로 알려졌다.

금융당국 관계자는 "전산자료의 변환은 금융회사라면 당연히 지켜야 하는 규정사항"이라며 "(정보유출이 일어나지 않은 카드사는) 기본을 지켰을 뿐인데 그게 주효했다"고 말했다.