어디서 많이 보던 풍경을 2014년에는 전 국민이 체험하게 됐다. 사진은 롯데백화점 소공동 본점 지하 1층 롯데카드 센터.
[clearfix]
1. 개요
2014년 1월 18일에 언론에서 발표한 개인정보 유출사태로 KB국민카드, NH농협카드, 롯데카드가 가지고 있던 개인정보가 유출된 사건. 발표는 1월 18일이었지만 유출 범행은 그 이전인 2012년 10월부터 2013년 12월까지 지속적으로 이루어졌다. 전 세계 사고 가운데 상하이시 로드웨이 D&B(중국, 2012년, 1억 5,000만 건)[1][2])에 이어 3번째로 규모가 컸다.2. 상세
이로 인해 전국민이 타격을 입어 결국 주민등록번호를 바꾸는 법을 만들어야 했다. 그간 대한민국에 있어왔던 개인정보 유출사건 중에서도 기존 최다 개인정보 유출 사고였던 SK컴즈 개인정보 유출 사건(3,500만 건)을 뛰어넘어 2014년도 기준으로 유출건수가 역대 최다인 1억 400만여건에 달하며[3], 이는 대한민국의 거의 모든 경제활동인구의 신상정보가 유출되었다는 것을 의미한다이 개인정보들은 사소하게는 각종 온라인 게임 작업장 계정 생성, 그러니까 주민등록번호가 도용되고 핸드폰 번호가 알려지면 스팸 폭탄 등도 먹을 수도 있으며 극단적인 경우 스토킹 등 범죄에 이용될 수 있다.무엇보다도 신뢰와 신용이 생명인 현대 금융 시스템에서 이런 사고가 터졌다는 것은 말 그대로 현대 금융 시스템의 근간을 뒤흔드는 위기라고 할 수 있다. 당연하게도 한국 한정. 하청의 하청을 거쳐 하청의 하청을 거친 허술한 시스템 구축 과정(물론 그렇게 구축한 시스템 자체도 허술했다. 공인인증서와 ActiveX 문서 참조.) 및 미온한 징벌로 인한 안전 의식 결여 등 당연히 터질 수 밖에 없는 인재였다. 기존의 옥션, 넥슨, 네이트 개인정보 유출 사건도 실상은 이 사건과 원인 및 진행 과정은 그닥 다르지 않다. 그나마 PSN은 유명 해커가 개입하기라도 했지 이건 그저 공밀레에서 시작된 일.
3. 유출 과정
개인정보를 유출한 범인은 아이핀을 관리하는 신용평가 업체인 코리아크레딧뷰로(올크레딧/KCB)에 근무하는 직원인 박모 차장으로 밝혀졌다. 박씨는 각 카드사의 분실·위변조 탐지 시스템 개발 프로젝트(FDS) 책임자로 각 카드사에 파견돼 일하면서 시스템을 테스트하기 위해 받은 개인 정보를 USB에 담아 빼냈다. 여기에는 카드사의 안일한 대처도 한몫했는데 테스트를 할 땐 진짜 고객 정보가 아니라 가짜 더미 데이터를 사용해야 되는 게 상식인데도 외부 용역에게 진짜 개인정보에 접근하도록 했다. 인가되지 않은 USB를 차단하는 시스템 따위도 없었다. 그야말로 총체적 난국.여기에는 대한민국 IT업계의 고질적인 하도급에도 원인이 있다. SI를 보면 알 수 있듯이 갑에서 을병정…으로 내려가면서 시간과 비용은 줄어들고 품질은 그만큼 떨어진다. '사슬 전체의 강도는 가장 약한 사슬의 강도에 해당한다' 라는 보안 관련 격언이 있다. 이 사건에서처럼 긴 사슬 와중에 한 군데에서만 보안문제가 생겨도 개인정보가 줄줄 새게 된다. 범인이 근무한 KCB도 말이 좋아 협력업체지 을 또는 병의 위치였다. 이렇게 빼낸 정보 중 일부를 돈을 받고 광고 대행업체 등에 팔아넘긴 것으로 알려졌다.
4. 피해규모
3사에서 유출된 개인정보는 사망자와 중복을 포함해 1억 580만 건이며 대한민국에서 일어난 개인정보 유출사태 중 가장 큰 규모다. 3사에서 유출된 개인정보 건수는 KB국민카드는 약 4,000만 건, 롯데카드와 NH농협카드가 약 2,000만 건이다. 유출된 개인정보도 상당히 방대하다. 3사 모두 개인 신상정보와 결제계좌가 유출되었고 KB국민카드는 타사 카드 정보, 롯데카드와 NH농협카드에서는 카드번호와 카드유효기간이 유출되었다. 게다가 이름, 주민등록번호, 연락처, 집 주소 같은 기본적인 개인정보뿐만 아니라 연봉, 결혼 여부, 자동차 소유 여부와 같은 세부 개인정보와 결제일, 신용한도 금액, 신용등급과 같은 민감한 금융정보까지 유출되었다. 더욱이 KB국민카드는 같은 계열사인 국민은행 사용자 정보까지 유출된 것으로 드러났다. 이러다보니 NH농협은행 개인정보도 유출되었을 가능성이 높다.[4] 대한민국 경제인구의 약 75%가 피해자로 추정된다는 보도가 나왔다.평생 NH, KB, 롯데카드와 담쌓고 살았더라도 안심할 수 없는 상황이었다. 앞에 말했듯 KB국민카드의 경우 타사 정보를 유출하였으며[5], 롯데카드의 경우 롯데카드가 없이 롯데멤버십카드만 소지했는데도 개인정보가 유출되었다는 사람이 있다.[6]@ 따라서 본인과 관계된 회사만이 아니라 3사 모두를 확인할 수밖에 없게 되었다.
유출된 개인정보 중에는 몇 년간 유출된 회사의 카드를 쓰지 않았던 사람이나 이미 해지한 사람, 심지어 이미 사망한 사람의 개인정보까지도 유출되었다고 한다. 이는 흔히 훑어보지도 않고 넘어가기 마련인 개인정보동의서 내용 중에 탈퇴하더라도 5년 정도 개인정보를 보관한다는 내용이 포함되어 있기 때문. 그런데 5년 넘게 보관한 것으로 드러났다.#
2월 3일 카드사 자체 추산으로 카드사의 사후 관리비용, 피해보상금, 2차 피해 보상금 등을 포함해 카드 3사에는 약 2,000억원 정도의 채무가 발생하게 된 것으로 나타났다.
4.1. 추가적인 유출 의혹 및 사실로 드러난 2차 피해 발생
검찰은 용의자들의 유출 파일 원본과 복사본을 모두 압수하였으므로 정보가 추가확산된 것은 아니라고 밝혔다. 검찰은 나아가 용의자들의 계좌 추적등을 해 본 결과 다른 제 3자에게 개인정보 데이터베이스를 추가로 넘긴 정황이 발견되지 않아 개인정보 유출 2차 피해는 발생하지 않을 것이라고 잠정 결론 내렸다. 검찰은 제3자에게 정보가 이미 넘어갔을 가능성을 완전히 배제할 수는 없으므로 수사력을 집중해 2차 피해의 발생 가능성을 계속 추적하겠다고 밝혔다.금감원도 1월 23일 정식적으로 추가 유출은 없다고 공식 선언하기까지 했다. 그러나 해당 발언이 무색하게 2달도 안 된 3월 14일, 8,000여만 건의 이 사건으로 인해 유출된 개인정보가 TM 등의 목적으로 이미 팔려 악용되었다. 관련 기사
이미 검찰의 잠정 보고 시점에서부터 조선일보, JTBC, 그것은 알기싫다 등의 보도에서는 개인정보는 이미 팔리고 있다는 의혹을 제기한 바 있다.조선일보[7], JTBC.
그것은 알기싫다 링크. 여러분의 신상이 얼마나 싸게 털렸는지 알 수 있다. 결국 이 의혹들은 모두 사실이었다.
한편 보안뉴스의 보도에 따르면 카드사 3개뿐만 아니라 하나은행, 우리은행 등 시중 은행에서도 개인정보가 유출됐다고 한다. 한편 박씨가 파견 근무를 갔었던 곳이 신한카드, 삼성카드라는 것도 밝혀졌지만 아직 이곳들의 유출된 정보는 나오지 않았고 검찰에서는 이 카드 회사들의 개인정보는 빼돌리지 않았다고 한다. 이유는 이 두 곳은 개인정보를 매우 까다롭게 관리하고 있었기 때문에 손을 댈 수 없었다고 한다. 특히 신한카드의 경우 개인정보 원본 요구와 인터넷 및 USB 허용을 요구하자 즉시 범인인 박 모 차장을 짤라버렸다. 그리고 이때 KCB에 이를 항의하기까지 했다는 증언이 있다.## 이때 KCB에서 박모차장을 교체했으면 롯데카드의 경우 화를 피해갔을 수도 있었지만 KCB 측에서 교체하지 않았다.# 신한카드의 처분은 당연한 거고 이쯤되면 KCB에 책임을 묻지 않을 수 없는 수준. 삼성카드와 현대카드의 경우 두 카드사 모두 이미 과거에 해킹으로 제대로 피를 본 과거가 있어서 개인정보에 대해 철저히 관리해서 피해가 없었다고 한다.#
5. 사건 이후 카드사와 금융당국의 대응
금융감독원은 1월 19일 금융회사 개인정보 유출사태 관련 긴급브리핑을 열고 현재까지 파악된 유출 규모와 대응방안 등을 발표했다. 또한 이번 사건에 책임을 지고 롯데카드 사장 등 경영진 9명, NH농협카드 사장과 KB 금융, KCB의 임원진 전원이 사퇴 의사를 밝혔다.기사 1, 기사 2. 그리고 각 회사들은 피해 고객들의 2차 피해를 방지하는데 도움이 되는 결제 내역 알림 문자 서비스를 1년 무료로 제공하고, 피해 발생시 100% 그 피해를 보상하겠다고 약속했다. 문제의 카드사들은 즉시 홈페이지에 사과문을 게재하고, 개인정보 유출 여부를 열람할 수 있는 페이지를 운영했다.사건이 언론에 보도된 것은 카드사 업무를 하지 않는 주말이었기 때문에 업무가 재개된 20일에 이르러서야 카드 재발급 신청자가 폭주하게 되었다. 각 카드사의 홈페이지와 콜센터는 폭주하는 접속자로 불통이 되었고 오프라인 창구에서도 재발급을 요구하는 고객들이 폭증하여 2014년 1월 22일에는 카드 재발급 및 해지/탈회 신청자 수가 200만을 돌파했고, 2월 들어서는 700만 명을 돌파했다. KB국민카드와 NH농협카드의 주관사인 국민은행과 NH농협은행은 1월 22일 부터 개인정보 유출사태의 신속한 처리를 위해 전 영업점의 영업시간을 오후 6시까지, 거점 점포는 밤 9시까지 연장 운영하기로 했다.관련기사 KB국민은행 거점점포
또한 문제의 카드 3사는 피해 고객 전원에게 유출된 정보의 종류를 적시하는 내용의 이메일과 우편을 발송했으며 카드사들은 SMS로는 해당 사실을 절대 고지하지 않으며 SMS로 온 링크는 불안 심리를 이용한 스미싱일 수 있으니 열어보지 말 것을 당부했다.
박근혜 대통령은 스위스 순방 중 소식을 보고받고 사건의 진상 규명과 재발방지 촉구 및 관련자 엄중 문책을 지시했다. 이에 금융당국은 1월 21일 관련자 처벌 및 재발 방지대책을 내놓기로 결정하고, 다음날 '금융권 개인정보보호 종합대책'을 발표했다. 금융 당국은 개인정보 유출에 대한 책임을 물어 KB국민카드, 롯데카드, NH농협카드 3개사에 대해 2월부터 3개월간 영업정지를 결정했다. 이는 현행법상 최고 수준의 제재로 사상 최초의 일이다. 또한 최고경영자(CEO)를 포함한 임직원에 대해서는 해임권고, 직무정지 등의 중징계 부과를 추진하며 정보유출 당시 재직중이었던 임직원에게도 소급하여 모두 책임을 묻기로 했다. 사고를 초래한 KCB 직원 당사자에 대해서는 형사처벌과 별도로 최고한도의 행정제재를 추진하기로 결정했다.관련기사
한편 정부는 불법적으로 개인정보를 사용해 관련매출을 올린 경우 매출의 1%까지[8] 과징금을 물릴 수 있도록 하는 점을 검토하고, 피해자들에 대한 징벌적 손해배상 제도 도입을 장기적으로 검토한다고 밝혔다. 그런데 이번 사건에 대해 과징금은 현행법상 최대 600만원까지만 부과할 수 있어, 수백억의 순익(3사 합하면 조단위의 순익이다)을 올리는 카드사에게 너무 솜방망이 제재가 아니냐는 논란이 터졌다.[9]
1월 25일 정부는 추가대책으로 카드이용시 ARS 개인인증 절차를 도입하여 강화하겠다는 뉴스 보도를 보냈다 그러나 이는 이용자들의 추가적인 불편을 초래할 뿐 근본적인 원인이었던 마케팅 활용을 위한 개인정보 수집 및 공유의 문제가 해결된 건 아니라는 반응도 찾아볼 수 있다. 무엇보다 해외사용에는 이런 제약이 통하지 않는다.
그리고 정부는 1월 26일 당분간 카드사와 보험사의 텔레마케팅(이하 TM)을 금지한다고 발표했다. TM 비중이 70%를 넘는 업체는 제외한다는 예외조항이 붙기는 했지만 그 예외에 해당하지 않는 업체가 과반이고 예외 업체도 정보보호조치에 대한 계획인증을 받아야 하기 때문에 이 조치가 TM업계에 미치는 영향은 절대적이라고 할 수 있다. 그러자 당연한 수순으로 금융사는 잉여인력이 된 TM 직원을 해고하려는 움직임을 보여 불똥이 엉뚱한 데로 튀게 되었다. 이 조치로 잉여인력이 된 사람만 5만명이 넘는다고 추정되었다. 나아가 TM을 통한 고객 유치를 영업의 근간으로 하는 외국계 보험업체는 이 정부의 조치에 대해 강력 항의 서한을 보내 이 정부의 조치가 통상마찰로까지 이어질 움직임까지 나타났다.
그러자 정부는 1월 29일 부랴부랴 이 사건으로 인한 TM 금지조치는 잠정적인 것이므로 금융사는 TM 직원의 해고를 자제하고 TM 조직을 유지할 것을 지도하였다. 이 지도를 무시하고 해고할 경우 제재가 따를 것이라고 했다. 결국 금융사 TM 직원은 고용은 되어 있되 쓰질 못하는 이상한 지위에 놓이게 되었고 이 사태로 인한 정부대책은 어느 장단에도 맞추지 못한 조삼모사식 대책이라는 것만 인증한 셈이다. 기사
게다가 당시의 TM 업계에서는 초반 적응기간에만 기본급을 주고, 이후에는 100% 성과급제로만 운영하는 계약을 하는 곳이 많았던 데다가 대부분의 직원의 지위가 정직원이 아니라 금융사의 위탁을 받아 일하는 사실상 개인사업자에 가깝기 때문에 조직을 유지한다 하더라도 TM 직원이 영업을 하지 못한다면 직원들은 한 푼도 보수를 받지 못하는 경우가 늘 수밖에 없었다. 때문에 TM직원들도 위 조치에 거세게 반대할 수밖에 없었고, 정부 당국은 국내외에서 이 조치를 성토하는 목소리가 커지자 TM 영업정지 기간도 2월 중에 순차적으로 해제하는 것으로 방향을 선회하여 결국 이 정책은 사실상 폐기되었다.
6. 이 사건 대응과정에서 드러난 문제점
6.1. 허술한 유출 확인
각 회사는 개인정보가 유출됐는지 알아볼 수 있는 사이트를 만들었는데 이 사이트는 운영 초기부터 허술함이 드러나기 시작해 논란이 일었다.6.1.1. KB국민카드
KB국민카드는 이 사이트마저 허술하게 만들어 논란이 되었다. KB국민카드가 운영한 개인정보 유출 확인 사이트 구조는 이름과 생년월일, 주민등록번호 맨 끝자리만 알면 조회를 할 수 있도록 만들었다. 그래서 한 네티즌이 반기문 유엔 사무총장 이름과 생년월일을 이용해 주민등록번호 맨 끝자리를 1부터 9가지 다 눌러보았다.이런 방식으로 박근혜 대통령과 이명박 대통령, 이건희 삼성그룹 회장, 금융감독원 원장, 정부 장·차관 등 정치·경제계 주요 인사들의 개인정보까지 유출된 것이 네티즌들에 의해 드러났다. 이러자 KB국민카드는 재빨리 사이트를 개편했고 몇 시간 뒤 개인정보 유출을 확인하려면 휴대폰이나 공인인증서, 신용카드를 통해 인증하는 방법으로 바꿨다.
그래도 KB국민카드의 경우 유일하게 SSL 통신을 했다.[10] 그러나 SSL 통신을 해도 보안 절차를 제대로 이해하지 못하면 소용없다. 애초에 공인인증서의 SEED도 암호화 기법이 다른 것 뿐이지 운용 방식은 SSL과 다른 게 하나도 없으며 현존하는 브라우저들에서도 이론상 100% 사용 가능한 알고리즘이다. 대한민국에서 공인인증서가 개판인 이유는 바로 이 사용절차를 ActiveX로 구현해서 그런 것이다.
6.1.2. NH농협카드
NH농협카드 또한 개인정보 유출 확인 페이지에 입력한 개인정보를 암호화하지 않고 평문으로 전송한 것이 드러났다.간단한 패킷 스니핑 툴만 있어도 주민등록번호랑 휴대전화 번호 등을 확인할 수 있다는 소리다. 또한 타 브라우저와 윈도우즈가 아닌 OS를 위한 지원이 미흡하다.
6.1.3. 롯데카드
6.1.4. 그 외
이와 별개로 액티브 X로 떡칠된 금융권 사이트 특성상 IE 이외의 브라우저(크롬, 모질라 파이어폭스, 오페라, Safari)는 아예 접속이 불가능하며 IE마저도 구조가 바뀐 11 버전은 접속이 불가능하다.[11][12] 이 때문에 잠깐 동안 대한민국에서 IE의 점유율이 올라가는 기현상이 벌어졌다.@
게다가 글자 그대로 전국민이 접속해 서버가 폭주하여 'Not found error' 등이 뜨거나 제대로 쳐도 페이지가 안 넘어가지는 등의 모습을 보여주었다. 콜센터 역시 폭주하여 "고객님의 예상 대기 시간은 20분 이상입니다" 라는 정신 나간 안내를 들려주거나 혹은 아예 없는 번호라고 나오는 등 준비된 접근 방법은 거의 다 불가능한 수준. 거기다 콜센터 통화가 대기시간까지 포함해서 유료라는 보도까지 나왔다. 후술했듯이 은행을 직접 방문해도 무한한 대기열 때문에 확인 및 후속조치가 불가능했다, 수신자 부담전화인 080이 있는데 말이다.
6.2. 미미한 보상
게다가 보상도 피해규모에 비해 미적지근하고 대충 넘어가려고 하는 기미가 보였다. 일단 각 회사들은 피해 고객들의 2차 피해를 방지하는데 도움이 되는 결제 내역 알림 문자 서비스를 1년 무료로 제공한다고 했는데 이에 대해 월 300원짜리 서비스를 보상이랍시고 내놓는 거냐고 분노가 폭발했다. 뿐만 아니라 이게 일률적용이 아니라 고객이 신청해야만 되는 거였다. 또한 카드사는 사죄의 마음을 담아 개인고객에게 2-3개월 무이자 할부 서비스를 실시하겠다고 밝혔다.카드사 입장에서야 단순계산으로 개인당 연간 3,600원 정도를 소비해야 하니 유출피해건을 1억으로 잡고 계산하면 향후 1년동안 3,600억원 어치의 거액을 파격적인 무료서비스로 제공하는 셈이기에 이 정도면 충분하다고 생각할 수 있으나 어디까지나 이들의 지출과 개인의 피해에 대한 배상이 별개라는 점을 생각하면 피해의 당사자 입장에선 기가 막힐 수밖에 없다. 그리고 월 300원 짜리 서비스라는 것은 이윤을 감안해 책정할 요금일테고 서비스의 특성상 한계비용은 극히 미미할 것이 자명하다.
같은 이치로 계산해 본다면 유출 피해자당 10만원씩만 배상해준다고 하더라도 10조원을 배상해야 한다는 계산이 나온다. 거기에 신뢰 저하로 인한 매출 타격까지 감안해 본다면 배상하는 기업은 그대로 문 닫아야 한다. 실제로 이런 사태가 징벌적 손해배상 제도가 있는 미국에서 일어났으면 시민들이 집단 소송을 벌이는 것은 물론 회사 망하고 그에 연루된 고위 기업자들은 해외로 도피해야 하는 상황에 처할 것이며 몇몇은 이 일에 연루된 상황을 감당하지 못해 극단적인 선택을 했을지도 모른다.
그러나 문제는 대한민국의 경우 법원이 개인정보 유출건에 대해 집단 소송에서 소비자의 손을 들어주지 않는 사례가 대부분이었다는 것. 그 이유로 이에 대한 피해를 일일이 보상하다 보면 정작 기업 자체가 망해 국가적인 혼란이 야기될 수도 있다는 기업 논리를 바탕으로 한 정치적 사유를 들고 있다. 이를 바탕으로 생각해보면 결국 흐지부지될 가능성이 높아졌다. 2008년 옥션 개인정보 유출 사건을 기점으로 대한민국에서도 개인정보 유출 피해자들이 집단소송에 나서는 사례는 늘고 있지만 실제 승소한 사례는 많지 않다.
법리상으로는 카드사의 배상책임은 과실에 기한 불법행위 책임인데, 이 때 피해자는 손해발생사실, 불법행위자의 과실, 인과관계, 구체적인 피해액을 모두 입증해야 한다. 당연히 지금과 같이 추상적인 피해가능성이 있다는 것만으로 위 요소들을 모두 입증하기란 곤란하다. 환경오염피해 등에 있어서는 피해자의 입증책임을 다소 완화하려는 움직임이 판례에 나타나기는 하지만 정보유출건에 관한 판례는 아직까지 위 기본적인 법리를 그대로 따라가고 있기 때문에, 승소가능성이 그리 높지가 않았던 것이 현실이다. 줄줄이 집단소송 움직임…보상받을 수 있나?
한 예로 20,000여명이 소송에 참여한 옥션 개인정보 유출 사건에서 법원은 옥션에 과실이 없다며 배상책임을 부정했고[13], SK컴즈 개인정보 유출 사건에서는 소송에 참여한 사람 중 일부만이 본인이 입은 피해와 SK컴즈의 허술한 보안을 입증하여 보상을 받았다.[14]보도자료
이 사건의 경우는 GS칼텍스의 주유고객정보 유출사건과 그 형태가 비슷한데, GS칼텍스 개인정보 유출 사건의 경우엔 카드사 개인정보 유출사고와 비슷하게 개인정보 유출의 2차피해를 막았고 이로인하여 정신적 피해가 발생하기 어렵다고 보았기에 배상책임이 없는것으로 판결내렸다.[15]
제대로 배상책임이 인정된 선례로는 국민은행'' 사건이 있는데 국민은행이 복권 관련 안내 메일을 보내다 실수로 3만여명의 고객정보를 첨부파일로 보낸 사건인지라 빼도박도 못하게 과실이 인정될 수밖에 없었기 때문에 배상책임이 인정된 바 있다. 그런데 이렇게 과실이 명백한 경우에도 배상액은 10만원~20만원에 그쳤다. 이런 류의 소송이 확정판결이 나오기까지는 족히 1~2년은 잡아야 한다고 봤을 때 소송에 드는 노력과 시간, 스트레스를 감안하면 오히려 소송 거는 게 더 손해인 판.''' 다만 이번에는 카드사들의 손해배상 책임 자체는 인정될 가능성이 높다는 것이 법조계의 시각이다. 피해사실이 드러난 이후 집단소송 카페가 우후죽순 생겨났으며 일부 로펌은 10초에 1번꼴로 소송문의가 접수되었다고 한다. 보도자료
한편, 법관이 피해자인 경우에는 원고들과 함께 배상 청구권자가 될 수 있기 때문에 그 민사소송에 관여하는 게 불가능하므로 (민사소송법 제 41조 제1호), 경제인구 대부분의 정보가 털린 이 사건이 실제 법원에 가더라도 판결할 법관이 없어 배정에 애를 먹는 사태가 SK컴즈 개인정보 유출 사건에 이어 발생할 가능성도 높다.
주식회사가 회사채를 발행하기 위해서는 기업에 발생하는 채무와 위험을 보고해야 하는 제도가 있다. 그래서 카드 3사는 카드 정보유출 피해로 인한 채무 발생 추산액을 일괄신고서에 수정 반영해야 했는데, 이 신고서는 말 그대로 회사가 얼마나 이 사태를 심각하게 파악하고 있고 얼마나 보상할 의지가 있는지 쌩얼을 드러내는 것인지라 귀추가 주목된 바 있다.[16] 2014년 2월 3일에 KB국민카드는 손해배상금을 위자료 20만원으로 잡고 (싸이월드 소송 사례 참고). 소송에 참가할 당사자를 전체 피해자 4천300만명의 1%로산정하여 최대 860억원의 보상액이 발생할 수 있다고 보고하였고, KB국민카드의 추산대로라면 롯데카드 352억원, NH농협카드 500억원 등 카드 3사는 모두 1천712억원의 손해배상금을 물어야 한다는 추산이 나왔다. 거기에 카드 재발급, 탈회 등으로 생기는 비용은 카드 3사 토탈 200억 정도가 들 것으로 추산되었다. 기사
거기에 카드사들이 붙인 다음 예측이 가관인데, KB는 유사한 사례에서 원고 승소가 드물었다는 점을 고려하면 소송으로 회사에 부정적 영향이 발생할 가능성은 작다고 설명하고 농협금융지주 측도 "이번 카드 사태와 정확하게 일치하는 판례가 존재하지 않고 카드사들이 부정 사용으로 인한 피해 전액 보상 등 후속 대책을 마련한 만큼 회사 경영에 큰 악영향을 줄 수 있는 판결이 나올 가능성은 작다"고 일괄신고서 정정본에서 밝혔다. 근데 이 망상을 그래도 계산 꽤나 하는 자들이 써놓은 거라서 현실이 될 가능성이 높다.
KB의 추산은 전체 피해자의 1%, 즉 43만명 정도가 소송에 참가할 것이라 예측한 것인데, 기존의 옥션 사건이 20,000명 정도가 소송에 참가한 것에 비하면 이번 피해배상 소송이 그보다 훨씬 거국적으로 벌어질 것이라 추측한 것이니 사건의 심각성을 대충은 인식한 것임이 틀림없다. 하지만 저 계산의 중요한 전제는 소송에 참가한 사람만 보상해준다는 것이다. 즉, 나머지 4,000만명이 넘는 피해자들에게는 월 300원짜리 무료문자 서비스 1년+재발급자는 재발급 비용 5,000원쯤으로 퉁치고 땡전 한푼 보상해 주지 않겠다는 의지를 만 천하에 드러낸 것이라 하겠다.
6.3. 카드사는 재발급조차도 소극적이다
카드번호 및 유효기간 등 전자결제에 직접 연결되어 있는 정보까지 모두 털렸으니 가장 현실적인 대안은 카드를 재발급받는 것임이 당연하다. 카드 도용결제를 근절하기 위해서는 카드사가 알아서 모든 카드를 일괄 재발급해주는 것이 방법이겠지만, 카드사와 금융당국은 그렇게 할 경우 자동이체가 모두 해지되어 더 큰 금융상의 혼란이 있을 수 있다는 이유로 거부했다. 때문에 재발급은 카드사 업무창구를 직접 방문해야만 가능하다. 언론사는 직접 신청하고 찾아가야만 피해방지가 가능하다는 어처구니없는 상황을 한 목소리로 비판했다. ## 카드 재발급에 드는 비용이 카드 원가와 인건비 포함해 5,000원에 달하기 때문에 카드사가 조금이라도 비용을 덜 내보려고 일괄 재발급을 '안'하고 있는게 아니냐는 의혹이 나오기도 했다. 하지만 관계자의 말에 따르면 현실적으로 고객이 부지런히 본인의 정보를 업데이트하지는 않기 때문에 기존의 주소로 자동 재발급을 실시 하는 것은 그것대로 혼란을 야기할 수 있는 것이 사실이며, 결국 모든 문제에 대한 가장 효과적인 해결책이라는 재발급마저도 혼란을 가중시키는 데 일조하고 있다고 한다. 그러나 그렇게 얘기하자면 혼란이 안 일어나도록 금융사가 애초에 보안 관리를 잘 했어야 하며, 카드 재발급에는 배송지가 필요하지만 카드 해지만으로는 배송지고 뭐고 다 필요없다.실제로 유출정보 본인확인이 제공된 후 첫 평일인 1월 20일 전국 3개 카드사의 고객센터와 국민은행·농협 창구에는 수많은 고객들이 대거 몰려들어 헬게이트가 열렸다. 외부인 출입시 출입증을 받고 미로같은 지하실을 거쳐 먼 거리를 걸어가야 하는 NH농협은행 정부과천청사지점에서조차 대기인수가 10명을 넘겼을 정도. 헌데 이 와중에 농협에서는 재발급 수수료 1,000원을 받았다. 일부 지점의 업무 미숙이었다고 하는데 그럴 리가 있을까? 주말을 끼고 카드유출건이 드러났기 때문에 영업일이 되기까지 카드 재발급의 경우에는 확실하게 대처방안을 떠올리지 않았거나 떠올렸어도 재깍재깍 각 지점으로 전파하지 않았다고 보는 것이 더 정확할 것이다. 일단 수수료는 전부 환불조치하기로 했다고는 하나 국민들의 분노는 하늘을 찔렀다.
그런데 일부 지점에서는 1,000원을 받았다![17]
그런데 더 문제인 것은 미성년자들이다. 농협에서 미성년자의 체크카드/현금카드 재발급을 일부 제한하고 있다. 농협 홈페이지는 아예 전산작업 불가라고 띄웠다.[18]
국민은행 콜센터는 재발급 요청에 대한 답변으로 "카드 재발급하면 신용조회를 하기 때문에 신용도가 떨어지므로 카드 재발급은 자제해달라"고 했다고 한다. 기사
재발급 고객이 인산인해를 이루고 있어 카드 재발급에 1개월 이상이 걸린다는 전망이 나왔다.[19] 때문에 사태가 진정국면에 이르기까지의 길은 험난해 보였다.@ 국민은행과 농협은 이 때문에 지점에서 다른 일처리조차도 못하고 있는 상황이며, 롯데마트 등에서 즉시(재)발급이 가능했던 롯데카드의 경우 사정이 좀 나았지만 이마저도 재고가 다 떨어지기 시작하면 똑같은 상황을 맞이하게 된다.
6.4. 보상이 문제가 아니다
위에서 KB국민카드의 유출정보 확인서비스의 막장 운영에서 볼 수 있듯이 개인정보 유출에 대한 해당 금융업체들의 인식은 사태를 뒷수습하던 시점에도 나아지지 않았다.KB카드의 경우에는 외부보안업체에 일을 맡겼다가 이런 일이 일어났는데도 협력업체에게 콜센터 업무를 맡기고 있단다. 콜센터의 인력들이 카드 및 통장 재발급을 위해 개인 신상정보를 다루고 있다는 것을 감안하면 고객들의 불안이 커질 수밖에 없는 요인이 될 것이다.
1월 20일에 각 해당 금융업체마다 재발급 및 해지를 위해 몰려든 사람들로 북새통을 이뤘다. 최다지점을 자랑하는 농협도 지역농협 대기인수가 15명 내외였고 중앙회 같은 경우에는 대기인수가 30명이 넘었다. 국민은행의 경우 대기열번호 100이 우습게 넘어갔다. 아침 일찍 가지 않는 이상 4시간은 기본으로 기다린다고 봐야 될 것이다. JTBC 뉴스 9에서는 대기인이 너무 많아서 대기인들을 돌려보내는 사례까지 나왔다. 이 정도 인원수가 몰렸다면 생업도 미루고 찾아온 고객들이 많았을 텐데 이런 이들에게 일단 카드나 계좌동결 등의 임시 처방도 내릴 수 없는 상황이라는 것이 고객들의 불안을 더 증폭시킨 요인이다. 아울러 오늘도 생업을 포기하고 왔는데 내일도 나와서 기약 없는 기다림을 반복해야 하는 것 아니냐는 불만도 생길 수밖에 없다.
농협 콜센터는 아예 연결조차 되지 않기도 했다. 1588-1600, 1644-4000으로 전화를 해보면 그냥 끊겼다. 신호조차 가지 않고 끊기는 경우도 있었다. 어찌어찌 ARS로 연결되어도 20분 넘게 기다리거나, 상담원이 모두 통화 중이라면서 처음부터 다시 항목을 선택해야 하는 경우도 있었던 듯. 그리고 통화비는 수신자(카드사) 부담이 아니다. 20분 동안 아무것도 하지 않았는데 통화비가 지출되는 것이다! 080이 아니라 1588이라서 원래 그렇다고는 하지만 충분히 성질 뻗칠 만한 일이다.
2014년 1월 24일엔 개인정보 유출로 인한 신용카드 해지 신청을 하더라도 신용등급이 강등된다는 뉴스가 발표되었다. # 이에 대해 금감위는 그런 일은 거의 없다며 부정했지만 # 거의 없다는 건 적게나마 있다는 소리고 자신의 잘못이 아닌 카드사의 잘못으로 인한 피해를 피해자가 반복해서 수용해야 하는 상황을 생각하면 황당하지 않을 수가 없다.
7. 대처 방법
사건의 심각성 및 대처법을 간략하게 서술한 글.아마존닷컴과 같은 해외 결제 사이트나 일부 한국 홈쇼핑결제 같은 경우 카드 번호와 유효기간만 알고 있으면 비밀번호, CVC코드 없이도 결제가 가능한 구조이기 때문에 방심하고 있다가 도용 결제가 될 수 있어 피해가 우려되었다. 기사 신용카드 도용 범죄는 정보를 넘겨받은 자들이 바보가 아닌 이상 이 사건이 여론의 관심에서 멀어진 시점에 시도할 가능성이 높으므로 당장 피해가 없다고 안심할 일이 아니다. 그러므로 카드 번호와 유효기간이 유출된 NH농협, 롯데카드는 즉시 재발급받거나 해지하는 것이 현명하다. 또한 정보 유출 이후 도용 결제된 사실이 확인된 경우에는 카드사측에서 100% 보상해 준다고 한다.
다만 이를 악용하여 해외 판매자와 짜고 도용 결제가 된 것처럼 사기를 치려는 사기꾼들이 있다는 이유로 카드사가 물타기를 하는 것도 예상 가능하기 때문에 시간이 지난 이후의 도용 결제는 도용 사실을 피해자가 일일이 다 입증해야 하는 불리한 위치에 놓일 수 있음에 유의. 그러므로 어느 모로 보나 개인정보가 유출된 카드는 해지하고 폐기하는 것이 안전하다.
카드 해지를 하려는 사람은 이것을 명심하자. 카드 해지는 신용카드의 해지를 의미하므로 회원정보는 남아 있다. 따라서 카드 "탈회"를 해야 한다. 카드 탈회만 할 경우 관련 법에 따라 개인정보를 5년간 보유할 수 있으므로 별도로 개인정보 삭제 요청을 해야 한다. 즉, 카드사에 전화해서 "카드 탈회합니다. 그리고 내 개인정보 삭제해주세요" 라고 말해야 한다.
혹시 자신이 사용하고 있는 카드가 무엇인지 잘 기억이 나지 않는다면 카드포인트 통합조회사이트에서 자신의 카드를 조회해 보자. 조회해 보고 아예 쓸일이 없는 신용카드라면 탈회+개인정보 삭제를 요청하도록 하자.
그리고 이미 유출된 개인정보는 다시 회수할 수 없다. 따라서 해당 카드사의 카드를 해지한다고 해도 유출된 개인정보가 사라지는 것이 아니다. 가장 효과적인 대처방법은 카드 재발급. 재발급을 하면 유출되었던 카드 정보와 현재 보유 중인 카드 정보가 불일치하게 되므로 카드를 이용한 보이스피싱의 위협에서 조금은 안전해질 수 있다.
그러나 주소와 주민등록번호와 같은 고유식별정보는 가입자가 주민등록번호를 바꾸거나 이사를 가지 않는 이상 불변하므로 대처방법이 없다. 혹시 주민번호를 리셋해 달라는 범국민적 소송이 진행되어 승소를 얻어내면 모르겠지만 판례도 없고 그냥 기적이라 보면 된다.
간혹 화난다고 카드회사 콜센터에 전화해서 화내거나 항의하는 사람도 있는데, 그래봤자 사실 별 소용없다. 어차피 콜센터에서 전화받는 사람들도 카드 회사 정직원도 아니고, 단지 전화 상담 업무를 계약으로 수주받았을 뿐인 전혀 무관한 하도급 업체 소속의 몇 개월 단위 단기 계약직, 또는 파견직 신분이다. 카드회사와 법률적으로는 티끌만큼도 연관 관계도 없는 전혀 무관한 사람들이다.
배상 소송을 원하는 사람들의 공동소송 대응을 위해 집단소송 카페가 개설되어 신청자를 받았다. 그리고 모집이 완료된 몇몇 카페는 실제 소송를 제기한 상태이다. 변호사들이 주체가 되어 공동 원고를 모집하고, 수임을 공구하는 식으로 소송을 추진한 것.
8. 말.말.말
- 1월 22일: 현오석 경제부총리 겸 재정기획부 장관은 "대규모 고객 정보 유출 사태의 재발을 막기 위해 카드사에 징벌적 과징금을 부과하겠다고 밝혔다.# 그런데 여기에 "어리석은 사람은 무슨 일이 터지면 책임 따지고 걱정만 하는데...", "금융 소비자도 정보를 제공하는 단계에서부터 신중해야 한다. 우리가 다 정보제공에 동의해줬지 않았냐"는 발언이 논란이 되었다. 결국 국민, 언론, 여당, 야당 모두 합심하여 위 발언에 십자포화를 날려 현오석 경제부총리는 다음날 하루에만 2번 공식 사과했다. 그런데 직접 사과하는 표현이라기보다는 "국민의 마음을 아프게 했다면 사과해야 한다고 생각한다"며 빙빙 돌려서 말하고 사과한다는 와중에도 "금융소비자도 앞으로 거래 시 좀더 신중하자는 취지였다"는 변명으로 여전히 피해자들도 책임이 있다는 인식을 굽히지 않아서 더더욱 어그로를 끌었다. 현오석의 사퇴를 요구하는 목소리는 커지기 시작했다.[21] 이후 외국 순방을 마치고 돌아온 박근혜 대통령은 또 한 번 그런 말실수를 하면 책임을 묻겠다고 코멘트를 남겼다. 근데 이 정도면 그냥 문답무용으로 모가지 쳐야 하는 거 아닌가.
- 1월 24일: 정찬우 금융위 부위원장은 "카드사의 정보 유출로 인한 추가적인 피해는 없는 상황이지만 이를 계기로 불법유통 개인정보를 활용한 금융사기 증가 등 국민들의 불안감이 커지고 있기 때문에 이를 차단할 근본적인 방안을 내놓겠다"고 밝혔는데 관련기사. 그 다음이 문제였다. 정 부위원장은 "기사에 보도된 유출 정보는 엑셀파일로 돼 있지만 카드사에서 유출된 정보는 텍스트파일 형태였다"며 "법무부에서 확인한 바에 따르면 텍스트파일은 엑셀파일로 변환이 안되는 것으로 안다"고 말을 해서 새로운 관점을 창조하였다. 그런데 이날 저녁쯤 한국 마이크로소프트 고객지원 트위터가 #정보공유 "텍스트" 문서를 "Excel"로 가져오는 방법 http://spr.ly/6014edDM" 이라는 트윗을 올렸다. 우연이 겹친건지 담당 직원의 노림수인지는 알 수 없지만 이미 네티즌들의 반응은 이번 기사의 노림수라는 걸 기정사실로 받아들이는 분위기였다.[22]
- 2월 11일: 카드정보 유출 IT강국 때문?…상황파악 못한 총리 2월 11일 정홍원 국무총리가 서울 여의도 국회 본회의장에서 "이번 사태는 한국이 IT강국이다보니 IT개발의 부정적인 부분이 이렇게 드러난 것 같다"라는 요지의 발언을 했다. 사태가 발생한 지 한참이 흘렀는데도 무엇인 문제였는지조차 인식하지 못한 모습을 보였다.
9. 해외의 사례
미국의 신용카드 결제업무 대행업체, 카드시스템즈(CardSystems)는 2005년 해킹 공격을 당해 고객 4천여만 명의 성명, 신용카드 번호가 유출되었다. 카드시스템즈는 주거래 업체인 비자카드와 마스타카드를 잃었고, 결국 2008년 퇴출되었다.일본의 게임 및 동인상품 판매 업체인 트레이더가 멧세-산오이던 시절 고객정보가 유출된 사례가 있었다. 그러나 아이러니하게도 뉴스를 통해 인터넷에서도 동인상품을 살 수 있다는 정보를 알게 된 사람들이 찾아와 오히려 매출이 올랐다고 한다. 사건 이후 해당 업체는 문을 닫고 다른 기업에게 인수되었다.
10. 피해 의심 사례
- 피해 사례가 접수되기 시작했는데 결제 피해사례의 경우 일단 유출된 정보로 사건이 일어난 게 아니라 이미 예전에 유출된 정보로 인한 피해라고 발표를 하긴 했지만...#
- 주인 몰래 일본 인터넷상에서 카드가 사용되었다.#
- 있지도 않은 휴대전화 요금 6만원이 빠져나간 서 모씨. 낚시를 좋아해 추자도에 낚시를 하러 갔는데 그 사이 대포폰이 개통되었고 서씨의 은행 계좌로 자동이체까지 신청되어 돈이 빠져나갔다.#
- 금융 소비자 연맹 고객센터에는 피해 신고 접수가 2,000건이 넘어섰다.
11. 기타
[1] 이 쪽은 이 문서의 사건과 매우 비슷한 경우라 할 수 있다. 내부 직원이 부패하여 개인 정보를 수집 및 팔아넘긴 사건. 이 사건이 벌어졌을 당시 카드는 전부 자동 재발급되었다.[2] 한편 이 때 새나간 정보는 카드 번호, 주소, 이름, ATM 번호였다. SIN넘버 같은 크리티컬한 정보는 전혀 새나가지 않았다. 덕분에 카드 재발급을 하는 등 사태를 수습할 수 있었고 박형주가 4달 후에 다시 비자카드, 마스타카드에 인증을 받아 정상 영업을 재개한다.[3] NH농협카드 2,500만명, KB국민카드 5,300만명, 롯데카드 2,500만명 등 도합 1억여 건.[4] 하필이면 이 두 은행이 대한민국에서 점포망 1, 2등을 다투는 은행이다. 이렇게 봐도 전 국민을 커버할 만한 사건이다.[5] 심지어 국민은행과 거래를 끊은 지 몇 년이 지났는데도 집안 어딘가에 보관되었던 국민은행 통장 덕분에 카드를 만들지 않았음에도 털려 버린 사례가 있다. 또한 자녀 명의로(영유아기 시절) 만들어둔 주택은행(국민은행 합병 전) 적금 통장을 2000년에 해지하였는데 그 자녀의 개인정보마저 털린 경우도 있다.[6] 그룹사에서 회원정보를 공유하는 경우가 많기 때문에 가능한 일이라고 볼 수 있다.[7] 이 기사의 경우 이곳이 원문인데, 해당 기사를 조선일보가 네이버, 다음 등 타사에 제공하지 않은 것으로 보인다.[8] 여기에도 함정이 있는 게 총 매출이 아니라 불법적인 개인정보를 사용한 상품의 매출만 해당된다. 그리고 한도는 최대 50억.[9] 부과된 과징금이 50억이라는 이야기가 있었지만, 그건 개정될 내용이고, 현재는 최대가 600만원이다.[10] SSL 통신을 하고 있는 페이지는 주소창의 주소가 https://로 시작되고 주소창에 자물쇠 같은 게 생겨 있다. 만일 주소창이 http://로 시작되거나 이러한 것이 없거나 하면 낚시 사이트로 봐도 무방하다.[11] 윈도우8.1부터 기본적으로 설치되어 있는 Internet Explorer 11에서는 '호환성 보기'를 하면 된다. 그리고 나서 ActiveX를 깔아야 된다.[12] 롯데카드의 경우 문제의 nProtect를 쓰기 때문에 64비트 윈도우 운영체제를 이용하는 경우라면 유의해야 한다.[13] 정확히는 해커가 옥션이 막을 수 없는 고도의 해킹기법을 사용하여 개인정보를 빼냈으므로 기업의 잘못으로 볼 수 없다고 판결하였다. 관련 내용은 링크 참조.[14] 법원이 일부승소판결을 내린 이유는 다음과 같다. 1. 데이터베이스 관리자가 로그아웃을 하지 않고 퇴근하였고 2. 서버관리자가 보안에 취약한 FTP 서비스를 셧다운 하지 않고 남겨 두었으며 3. 관리자는 해킹 당시 과도한 트래픽이 생기는데도 모니터링을 하지 않았으며 4. 기업용이 아닌 개인용 알집프로그램을 사용하여 해킹에 사용되었으며 5. 해킹으로 인해 개인정보가 다른 서버로 이관되어 개인정보 유출이 확실시 된다.[15] 엄밀히 말하면 사건의 원인은 같으나 피해의 정도가 다르다. GS칼텍스 개인정보 유출사건도 관련직원에 의해 개인정보가 유출되었으나 이로 인한 개인정보가 유출되지 않고 모두 회수되었다고 보았기 때문에 고객정보유출로 인한 피해 보상이 필요 없다고 판결한 것이다. 그러나 카드사 개인정보 유출사건은 확실하게 개인정보가 유출되어 팔아먹은 정황이 있으며 그 규모가 엄청난지라 GS칼텍스 개인유출건과 완전히 같은 사건이라고 보기는 어려울것 같다. 링크 참조.[16] 이 보고서는 원래 회사채를 사줄 투자자들이 읽는 것이므로 거짓말하지 않는 한도 내에서 돈을 많이 벌고 돈을 적게 잃을 것이라는 식으로 쓰는 것이 맞긴 하다. 이 보고서를 읽지 않을 카드사 고객들이 홀대받을 것이라고 보고서에 써놓는 것은 이 과정에서 당연히 벌어질 일이었다. 물론 그걸 기자들이 다 읽어줘서 고객들이 다 알게 됐지만.[17] 이는 일부 지점의 일부 행원의 업무전달 미숙으로 벌어진 일이며, 1월 19일부터 재발급시 발급비를 지불한 본인계좌로 자동 환출을 시작했다.[18] 인터넷뱅킹 NH농협카드에서 일부 체크카드종류(농협즉발카드로 추정)는 실제로 제한 중이다.[19] NH농협카드은 1백만 장이 넘게 밀렸다. 일반적인 경우 NH농협카드에서 하루 재발급할 수 있는 카드 수는 3만 장 정도라고 한다.[20] 농협 전산 사고 때 검찰의 주장과 동일하다.[21] JTBC 뉴스9에서 해당 발언에 공감하냐 안 하냐로 설문조사를 했는데 공감은 10.9%, 비공감은 70.7%였다. 나머지는 "잘 모르겠다"이다.[22] 그리고 각종 프로그래밍 언어에서 제공하는 문자열 처리 함수와 엑셀 파일 관련 라이브러리는 장식이 아니다! 아니 프로그래밍 언어까지 갈 필요도 없이 Python 같은 스크립트 언어에 공개 모듈 설치해서 처리해도 충분하다.[23] 들어가면 워닝이 뜬다.