빅데이터 시대
[Cover Story] 금융정보는 돈… 유혹에 약한 보안
1억4000만건의 개인정보 유출사건이 발생했다. 경남 창원검찰이 밝혀낸 국내 최대 규모의 유출범죄다. KB카드, 롯데카드, NH농협카드 고객의 정보가 몽땅 털렸다. 보안담당자 한 사람이 이름 주민등록번호는 물론이고 집주소 전화번호 카드사용한도 카드번호 사용실적 신용등급 정보를 빼내갔다고 한다. 외부 해킹이 아니라 내부인의 소행이라는 데 충격은 더 크다.


정보 거래는 중대 범죄

[Cover Story] 금융정보는 돈… 유혹에 약한 보안
영화에서 자주 보는 장면이 있다. 주인공이 동네깡패에게 용돈을 집어주면서 정보를 듣곤 한다. 깡패는 “조금 더 달라”며 딴전을 피운다. 정보를 얻으려면 대가를 지불하라는 몸짓이다. 이번 신용카드 정보유출사건도 이런 장면과 크게 다르지 않다.

수많은 사람의 정보를 관리하는 담당자라면 범죄유혹에 노출되기 십상이다. 물론 그 이면에는 “안 걸리게 빼낼 수 있다”는 완전범죄심리가 작용한다. 리스크가 작은 대신 이익은 크다는 ‘자기최면’이다. 정보를 내려받은 기록이 당연히 남는데도 범인은 이미 최면에 걸린 상태다.

금융정보를 요구하는 시장은 많다. 은행 카드 대출 부동산 통신 교육 유통 영화 도박 마트 텔레마케팅 스미싱 등 거의 모든 기업과 업체들이 개인신용정보를 원한다. 정보 거래가격은 얼마나 될까. 고객 이름, 전화번호, 집 주소와 같은 단순 정보는 한 건당 50~300원 정도에 거래되기도 한다. 수천만건이면 정보값은 ‘고위험 고수익’ 이 된다. 1억4000만건의 정보를 가질 수 있다면 정보접근권을 가진 범인은 유혹에 넘어갈 공산이 크다.

주민등록번호, 신용등급, 대출이력 등 고급정보 가격은 더 높게 형성돼 있다. 대출 중개업자들이 주로 찾는 고급정보 가격은 5000원에 거래된다는 게 정설이다.

중개시장도 있다

암시장이 형성돼 있다면 거래조직도 당연히 존재한다. 유출된 정보는 주로 오프라인에서 점조직 중개인을 통해 거래된다. 확보된 정보는 문자나 전화 마케팅을 하는 수많은 업체로 퍼져나간다. 이런 정보를 가장 많이 쓰는 곳이 대출중개업자들이다.

우리나라에서 대출중개를 하는 법인은 300개가 넘는다. 여기에 고용돼 있는 사람도 1만명을 넘어선다. 이 통계는 최근 국정감사에서 나온 것이다. 대출중개업은 별도의 인허가 없이도 할 수 있다. 금융업협회에 등록하면 영업할 수 있다. 등록되지 않은 소규모 법인이 더 많다는 추정도 있다. “대출중개업의 경우 고객정보가 가장 강력한 무기다. 개인정보 확보에 사활을 거는 이유다”고 업계 종사자들은 말한다. 최근 들어 극성을 부리고 있는 불법 스팸문자, 각종 피싱 유도 문자도 암시장이 존재한다는 증거인 셈이다.


정보 독점이 화 근

이번 사건은 KCB라는 신용정보업체에서 시작됐다. KCB는 2005년 19개 금융기관이 돈을 모아 만든 회사다. 이 회사는 금융회사 고객의 신용정보를 확보하고, 분류하고, 평가하는 등 단순정보뿐 아니라 평가정보도 제공한다. 문제는 이 시장이 사실상 2개 정보업체가 좌지우지한다는 점이다. 또 하나의 업체는 나이스 그룹이라는 곳이다. 이 두 회사가 사실상 모든 금융고객에 대한 우량정보를 독식한 상황이다.

독점의 폐단이 나왔다는 지적이 많다. 사실상 경쟁이 없다 보니 보안담당 직원에 대한 교육투자나 감시감독이 소홀했다는 것. 사고를 낸 3개 카드회사도 KCB의 직원들을 맹신했다. 고객 정보에 접근할 수 있는 무제한의 권한을 줬다는 게 수사 결과다. 1억건이 넘는 고객 정보를 이동식 저장장치(USB)에 복사해 빼내가도 모르는 구조가 독점폐단 속에 숨어 있었던 셈이다. 이중삼중의 보안접근 감시체제를 갖추지 않는 것도 주인이 없는 기업처럼 운영되는 신용정보회사의 구조와 무관치 않다.


보안은 투자다

사고를 낸 KB금융지주 등 주요 금융지주회사들은 전산망 관리유지에 연간 3000억~4000억원을 쓰고 있다. 하지만 USB 접속금지라는 간단한 보안장치를 하지 않은 것으로 드러났다. 삼성카드와 현대캐피탈 같은 회사는 회사 컴퓨터에 USB 접속을 아예 못하게 만들어 놓았다. 이에 반해 KB국민카드와 NH농협카드, 롯데카드는 용역업체 직원이 USB를 사용한 사실조차 몰랐다. 영화에서 보면 정보컴퓨터에 접속할 경우 여러 명이 접속권을 나눠 인증하는 장면이 나온다. 한 명이 모든 권한을 갖는 것이 아니라 다수의 인력이 보안코드를 입력한다. 이번 사건은 가장 원시적인 방법에 뚫렸다고 할 수 있다. 10명이 도둑 한 명을 이기지 못한다는 말이 있다.

각국 정보기관도 해킹으로 털리는 시대다. 금융망이 뚫려 모든 거래가 왜곡되거나 예금이 이체되는 사고가 나지 말라는 법도 없다. 보안은 비용이 아니라 투자라고 생각해야 한다. 정보전쟁의 시대에 금융거래자들의 불안은 날이 갈수록 커지고 있다.

고기완 한국경제신문 연구위원 dadad@hankyung.com