검찰, KCB 프로젝트 총괄 직원 등 3명 적발...2명은 구속 기소 

[보안뉴스 김태형] 8일 보도된 국내 카드사의 고객정보 유출규모가 1억건이 넘는 것으로 검찰 수사결과 드러났다. 이번 카드사 대규모 고객정보 유출은 신용평가업체 직원에 의한 것으로, 정보유출 사고유형 중에서 가장 많은 내부자 소행으로 드러났다.

창원지검 특수부는 전산 프로그램 개발 용역 수행 과정에서 카드회사로부터 고객 인적사항정보 등을 불법 수집하고 그중 일부를 유출한 외부 파견직원 코리아크레딧뷰로(KoreaCreditBureau:KCB) 박모 씨와  박모 씨에게 정보를 구입한 대출광고업자 조모 대표를 구속 기소하고, 조모 씨로부터 정보를 구입한 대출모집인 이모 씨를 불구속 기소했다고 밝혔다.

검찰은 불법 수집된 원본 파일과 1차 복사 파일 등을 압수함으로써 외부 유출은 일단 차단된 것으로 파악하고 있다. 박모 씨가 유출한 고객정보는 NH카드 약 2,500만명, KB카드 약 5,300만명, 롯데카드 약 2,600만명 총 1억 400만건으로 사상 최대 규모다.

창원지검은 서민생활 침해사범들인 불법사금융업자, 불법대출광고업자들을 단속해 은행 고객의 개인정보를 불법 수집한 은행직원 등을 적발한 바 있으며 이러한 수사의 일환으로 이번 고객정보 불법 수집 사범을 검거한 것이다.

박모 씨는 개인신용평가 전문회사인 KCB의 카드 도난·분실, 위·변조 탐지 시스템 개발 프로젝트(FDS)의 총괄관리 담당 직원이었다. KCB는 19개 은행, 신용카드사, 보험사 등 금융회사의 공동출자로 설립되어 개인의 거래정보를 수집·가공해 금융회사에 리스크관리 서비스를 제공하는 회사로서 은행, 카드사들의 전산 프로그램을 개발하고 있다.

이에 박모 씨는 지난 2012년 5월 경부터 2013년 12월 경까지 위 각 카드회사들에 파견되어 FDS프로 젝트 관련 프로그램 개발용역 작업 수행을 위해 각 회사 전산망에 접근 USB에 고객정보를 복사해 몰래 가져가는 수법으로 불법 수집한 것으로 검찰 수사 결과 드러났다.

박모 씨가 몰래 빼낸 고객 정보에는 사망자와 폐업 법인의 정보도 포함된 것으로 알려졌다. 박모 씨는 삼성카드와 신한카드 전산망에도 접근했으나 암호화 프로그램에 걸려 고객정보를 빼내지는 못했다고 검찰은 밝혔다.

박모 씨는 빼돌린 고객정보 일부를 조 씨에게 제공하고 1650만원을 받아 챙겼고 나머지는 자신의 집에 보관한 것으로 밝혀졌다. 조모 씨는 2013년 5월경 박모 씨에게 받은 고객정보 가운데 100만건을 2300만원을 받고 이 씨에게 넘긴 혐의를 받고 있다.

검찰은 고객정보 불법 수집자와 최초 유통자가 붙잡혀 이 정보가 외부에 유출되거나 확산하지는 않은 것으로 추정했다. 검찰은 박모 씨와 조모 씨가 갖고 있던 모든 고객정보 원본 파일과 조모 씨가 이모 씨에게 제공한 100만건의 정보자료를 모두 압수했으며 이들은 고객정보를 외부로 유통하지 않았다는 진술을 한 것으로 전해졌다.

이번 사고는 카드사들이 외부 회사의 직원이 혼자서 전산망에 접속하는데도 어떤 일을 하는지에 대한 감독을 전혀 하지 않아 가능했다고 검찰은 강조했다.

한편 박모 씨가 불법 수집한 고객정보에는 이름, 휴대전화번호, 직장명, 주소 등은 물론이고 신용카드 사용과 관련한 정보도 일부 포함되어 있어 만약 외부로 유통됐다면 카드복제, 금융사기 등의 2차 피해도 충분히 가능했다.

개인정보가 유출된 KB국민카드, 롯데카드, NH농협카드 대표는 8일 서울 대한상공회의소에서 기자회견을 갖고 이번 개인정보 유출에 대해 대국민 사과를 했다.

금융당국은 은행과 카드사의 고객정보 유출사고의 재발 방지를 위해서 각 금융회사들을 대상으로 고객정보의 보안관리 실태 점검에 나서는 한편, 불법으로 유출된 고객정보의 사용을 막기 위해 수사기관과 협조해 피해확산을 막기로 했다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>