| OK캐쉬백 콜센터, 고객정보 2만건 유출...보안관리 엉망! | 2009.09.26 |
보안 모니터링과 감사체계 제대로 작동했다면 막을 수 있었다! 천씨, 훔친 개인정보로 ┖11번가┖에 신규가입...사이버머니 편취 OK캐쉬백, 보안관리체계 다시 확립하고 피해보상책 마련해야
이후 천씨는 빼돌린 개인정보 2만여 건을 활용해 인터넷 쇼핑몰인 11번가(http://www.11st.co.kr/)를 중심으로 개인정보를 도용해 사이트에 가입한 후 해당 사이트에서 신규회원에게 제공하는 사이버머니를 편취하는 수법을 사용해 1,200여 만원을 챙긴 것으로 경찰 조사결과 밝혀졌다. 정보를 빼낸 상황을 보면 이해할 수 없는 상황이다. 천씨는 경찰 진술에서 “2007년 7월부터 2008년 4월까지 OK캐쉬백 콜센터에서 근무했고 퇴사하기 2개월 전부터 고객정보를 빼내는 작업을 했다”고 말했으며 “업무 PC에는 OK캐쉬백 내 모든 고객정보를 열람할 수 있었으며 2만여 명의 정보를 메모장에 복사한 후 USB에 저장해 퇴사했다”고 밝혔다. OK캐쉬백, 보안관리 및 교육 부실했다 이 부분에 대해 한 보안전문가는 “민감한 개인정보를 열람할 수 있는 고객센터에서 최소한의 보안관리가 안되었다고 볼 수 있다. 아르바이트생이 사용하는 PC에 모든 고객 정보를 볼 수 있도록 한 것뿐만 아니라 DRM이나 DLP 등의 솔루션을 사용해 복사를 방지했어야 했다. 그리고 콜센터에는 USB나 CD와 같은 저장매체 사용을 원천적으로 막아야 하는데 그러한 원칙을 지키지 않은 것으로 보인다”고 말했다. 또 다른 전문가는 “OK캐쉬백에 보안관리체계가 없어서 생긴 문제다. 상당수의 고객정보를 보유하고 있음에도 불구하고 콜센터 직원들에 대한 보안교육을 하지 않았다는 것을 알 수 있다”며 “개인정보를 위탁받아 사용하는 아웃소싱 업체들은 반드시 정보보호관리체계(ISMS: Information Security Management System)인증을 받아야 하며 만약 보안 모니터링과 감사가 지속적으로 이루어졌다면 아르바이트생이 감히 그런 생각을 하지 못했을 것”이라고 꼬집었다. 다시말해 지속적으로 보안교육을 실시하고 고객 정보에 대한 보안 감사와 모니터링을 실시한다는 것을 직원들에게 상시적으로 공지하고 인식시켰다면 이러한 일은 미연에 막을 수 있었다는 이야기가 된다. 특히 국내 콜센터는 최근 개인정보 유출 사건이 계속 터지면서 보안강화에 노력을 기울이고 있다고는 하지만 여전히 ‘ISMS’나 ‘ISO 27001’과 같은 정보보호 관련 인증을 받은 기업은 극히 드문 실정이다. 개인정보 취급하는 고객센터·콜센터 등 엄격한 보안규정 실천해야 한 대형 쇼핑몰 보안담당자는 “개인정보를 취급하는 콜센터같은 경우는 내부에 들어갈 때 필기도구나 종이도 들고 들어가서는 안된다. 물론 인터넷이 되는 PC도 사용하면 안되고 화면캡쳐나 Ctrl+C, Ctrl+V 형태로 복사도 되지 않아야 한다”며 “최근 콜센터 업체들이 많이 노력하고는 있지만 보다 엄격한 보안교육과 관리체계가 이루어져야 한다”고 강조했다. 또한 콜센터 입장에서 봤을 때 고객사 측에서 콜센터와 계약시 강력한 보안관리체계를 요구해야 한다. 업계 관계자에 따르면 “고객사측에서 강하게 보안요구를 하면 해당 업체에 관련해서만 ISMS나 ISO27001과 같은 인증을 받고 있다”며 “요구하지 않으면 비용문제도 있고 해서 보안에 많은 비용을 투자할 수 있는 상황이 아니다”라고 밝혔다. 철저한 보안감사, 모니터링, 권한관리, 교육 등이 중요 박나룡 다음커뮤니케이션 개인정보보호팀 차장은 “콜센터나 고객센터의 근본적인 보안위협은 사람이다. 개인정보 취급에 대한 중요도에 비해 그에 맞는 대우를 받는다고 보기 어려운 상황에 쉽게 ‘유혹’에 넘어갈 수 있는 환경”이라며 “이러한 취약성을 제거하기 위해서는 철저한 보안감사, 모니터링, 권한관리, 교육 등이 뒷받침 되고 개인정보 등 중요 정보를 취급하는 취급자에 대한 대우를 적절하게 높여주고 그에 대한 책임을 강조하는 것이 필요하다”고 지적했다. 이번 OK캐쉬백과 같은 대기업 계열의 콜센터 업체에서 이렇게 허술하게 고객 관리를 해왔다는 점은 이해할 수 없는 상황이라고 보안전문가들은 입을 모으고 있다. 현재 OK캐쉬백 홈페이지에는 공지사항란에 이번 건과 관련 공지사과문이 올라와 있다. 내용을 보면 ‘현재 사실 관계 파악을 위해 수사가 진행중에 있다. 고객 정보를 보다 철저히 보호하지 못한 점 사과한다...모 쇼핑몰에 도용된 것 이외에는 개인정보가 다른 용도로 사용되거나 제3자에 유출된 것은 아니다. 수사중이기 때문에 아직 고객정보 도용 여부를 바로 확인하지 못하는 점 양해바란다’ 등의 내용이다. OK캐쉬백, 보다 적극적으로 피해고객에게 피해보상 이루어져야 하지만 2만명이라는 피해자가 발생했음에도 불구하고 잘 보이지도 않는 공지사항만 하나 올려놓았을 뿐 별다른 조치를 취하지 않고 있는 상황이다. 신속하게 2만명 데이터를 입수해 피해 고객에게 알리고 도용 여부를 확인할 수 있도록 조치를 취해야 할 것이다. 물론 법적인 피해보상도 따라야 한다. 또한 천씨는 이번에 빼돌린 고객 정보로 국내 인터넷 쇼핑몰인 ‘11번가’에 집중적으로 신규회원가입을 하고 사이버머니를 편취한 것이 밝혀졌다. 그렇다면 11번가 측에서도 도용 여부 확인을 위해 노력을 기울여야 한다. 11번가, 개인정보 도용된 피해고객에게 공지하고 조치 취해야 하지만 25일 11번가 관계자와 전화통화로 확인한 결과 아직 사태파악을 전혀 못하고 있는 상황이다. 11번가 관계자는 “아직 경찰측에서 조사 요청이 온 상태는 아니다. 그리고 유출된 개인정보로 11번가에 집중적으로 가입을 했다는 사실도 처음 듣는 일”이라며 “조사해 보도록 하겠다”고만 밝혔다. 11번가측은 이 사실을 피해자 입장에서 신속히 경찰측에 도용 여부를 확인하고 피해 고객들에게 공지해 주는 것이 마땅하다. 한 보안담당자는 “위탁사(갑)에서 콜센터(을)와 같은 업체에 개인정보를 위탁할 경우라도 콜센터측에만 책임이 있는 것이 아니라 갑사에서도 관리감독 책임이 있다. 정통망법만 보더라도 갑사가 책임을 지고 개인정보를 관리하고 감사해야 한다고 규정돼 있다”며 “또 콜센터 직원이라 하더라도 위탁사의 개인정보를 취급하고 있다면 위탁사 직원으로 본다는 것도 명시돼 있다”고 밝혔다. 따라서 이번 사건이 OK캐쉬백 콜센터 아르바이트생이 저지른 일이었지만 위탁사가 관리·감독을 하지 못했기 때문에 해당 개인정보 위탁사도 책임을 피할 수 없는 상황이다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
지난 2008년 2월 남대문구에 위치한 OK캐쉬백