“은행 내부자·협력업체에서 빼돌려 팔아”

中 전문가 “개인정보보호법’ 제정 서둘러야

[보안뉴스 온기홍=중국 베이징] 중국에서 신용카드 개인정보를 빼돌려 사고파는 행위가 잇따르면서 사회문제가 되고 있다. 특히 중국에서 발급 매수가 4억 장이 넘는 은행 신용카드의 고객 개인정보 관리가 소홀한 것으로 나타나 피해 우려와 대책 마련을 요구하는 목소리가 커지고 있다.

중국 관영 뉴스통신사인 신화통신은 중국에서 4억 장이 넘는 신용카드가 발급됐고 신용카드를 이용한 연간 거래액이 13조 위안에 달할 만큼 급증하고 있지만, 신용카드 고객 개인정보 관리가 부실해 유출된 개인정보를 사고파는 행위가 공개적으로 이뤄지고 있다고 11일 전했다.

신화통신은 상하이 소재 재무관리회사 마케팅 담당자의 제보에 따라 중국인들이 가장 많이 쓰는 온라인 메신저인 ‘QQ’에서 ‘텔레(전화) 마케팅’이라는 단어로 검색하면 200개에 이르는 ‘데이터 교류’ QQ그룹을 찾을 수 있었다고 전했다.

또한 QQ에서 ‘은행 데이터’라는 단어로 검색하면, 수백 명이 참여하고 개인정보 거래가 활발한 QQ그룹 30개가 나온다. 이들 그룹은 중국에서 신용카드 정보 거래의 ‘암시장’ 역할을 하고 있다.

신화통신 기자는 구매자를 가장해 ‘텔레 마케팅 데이터 자원’이란 이름의 QQ교류그룹에서 한 판매상과 온라인으로 접촉해 ‘진위 여부 시험용’으로 신용카드 고객 데이터를 받았다. 이 개인정보에는 중국공상은행, 농업은행, 건설은행, 교통은행 등 중국 주요 은행의 신용카드를 이용하고 있는 200명의 이름과 이동전화 번호, 집주소 등이 담겨 있었다.

신화통신 기자가 명단에 있는 안휘성 허페이시 소재 카드 한 고객에게 전화를 걸어 직접 확인한 결과, 이들 정보는 모두 진짜인 것으로 드러났다. 고객 당사자들은 신용카드를 발급받으면서 자신의 정보가 유출돼 거래되고 있다는 사실을 전혀 모르고 있었다. 중국판 카카오톡인 웨이신(WeChat)과 일부 전자상거래 사이트에서도 ‘텔레 마케팅 교류권┖’ ‘마케팅 업계 자료 그룹’ 등도 많이 존재하고 있는 것으로 드러났다.

중국내 한 개인정보 판매상은 카드 개인정보를 ‘품질’에 따라 건당 적게는 2펀~5위안(3원~900원)에 거래하고 있다고 설명했다. 최근에 신용카드를 만든 고객의 정보는 건당 5마오(90원 가량)에 거래 되고 있다. 이전에 한 차례 매매된 적인 있는 고객 정보는 건당 0.35마오(63원) 정도다. 골드나 플래티늄 카드 회원정보는 건당 5위안(900원)으로 비싸게 팔리고 있다.

한 개인정보 판매상은 “이전에 매매된 횟수가 적어 업자들이 전화를 적게 걸었던 번호의 정보일수록 가격이 높아진다”며 “가장 싼 정보는 10만건에 2,000위안(36만원)로 건당 2펀(3.6원) 정도다”고 설명했다.

신용카드 고객 정보를 사가는 쪽은 주로 귀금속과 자산관리 텔레마케팅 업체들이라고 판매상들은 전했다. 매매는 온라인 채팅과 금전 지불 툴을 통해 이뤄지며, 구매자가 신용카드 고객 정보를 받는 거래 과정은 수 분 밖에 걸리지 않는다.

“은행 내부자가 고객정보 빼내어 팔아...협력회사와 정보 공유”

중국의 ‘상업 은행 신용카드 업무 감독관리 방법’에 따르면, 은행은 고객의 정식 동의 없이는 고객 관련 정보는 해당 은행의 신용카드 업무 이외의 다른 용도로 쓸 수 없다.

하지만 고객이 신용카드 신청서를 작성한 뒤 실제 카드가 발급되기까지 은행 내 지점·본점·신용카드센터와 협력업체의 손을 거치면서 내부자가 고객정보를 암거래상들에게 팔아 넘기고 있는 것으로 밝혀졌다고 신화통신은 전했다.

베이징시 시청(서성)구 인민법원의 통보에 따르면, 지난 2013년 징역형을 받은 평안은행 신용카드센터의 전 직원은 600여건의 고객 정보를 판매했다. 이 정보에는 고객이 신용카드 신청시 적은 임금 증명서와 신분증 증명서도 들어 있었다. 상하이 사법기관이 최근 처리한 고객 정보 매매 사건 중에도 중국공상은행과 농업은행 소속 직원들이 고객 자료를 빼돌려 판 사건들이 포함됐다.

신화통신은 “현재 중국에서 신용카드 발급 신청서(계약서)는 기본적으로 각 은행이 자체적으로 만든 것이어서 통일된 격식의 신청서가 없는 것으로 확인됐다”고 전했다. 또한 신청서에는 은행 쪽이 정보 보호 및 고객 정보를 어떻게 이용할 것인지에 대해 어떠한 규정도 없다고 지적했다. 

중국내 전문가들은 은행들이 신용카드 발급 신청서에 개인정보 이용과 관련해 문제가 발생했을 때 빠져나갈 수 있는 면책조항을 넣어 책임을 회피하고 있다고 지적했다.

상하이시 검찰원 금융검찰처의 샤오카이 처장은 신화통신과의 인터뷰에서 “정보 유출은 금융범죄를 쉽게 유발한다”고 강조했다. 일부 보안 취약점이 있는 재태크 사이트에서는 등록 회원이 성명과 신분증 번호, 카드 번호 등 정보만 갖고도 자금을 얻을 수 있다고 샤오카이 처장은 설명했다.

지난 2013년 한 해에만 이런 취약점을 악용한 범죄자들이 상하이 현지에서 불법으로 손에 넣은 자금이 수백 만 위안에 달했다.

中 전문가 “개인정보보호법’ 제정 서둘러야

중국내 전문가들은 현재 금융 기업과 협력기관(업체)의 고객 정보 유출과 매매에 대한 처벌 강도가 약하므로 ‘개인정보 보호법’을 서둘러 제정해야 한다고 목소리를 높이고 있다. 동시에 은행은 협력 업체에 대한 심사를 강화해야 한다는 지적도 제기되고 있다.

중국 정부는 지난 2009년 형법 개정을 통해 금융기관 직원이 고객 정보를 팔거나 제3자에게 불법 제공하는 행위에 대해 형사책임을 묻도록 했다. 또 전국인민대표대회 상무위원회의 ‘인터넷 정보보호 강화에 관한 결정’에 따르면, 인터넷 서비스 제공자는 업무 과정에서 수집한 공민 개인 전자정보를 반드시 엄격하게 보호해야 하며 이를 유출·변조·훼손해서는 안 되며 판매 또는 타인에게 불법 제공해서는 안 된다고 명시했다.

이에 대해 상하이 한 법률사무소 파트너인 쉬펑은 “현재 중국에서는 정보유출 행위를 발견했을 경우 관련 직원에 대해서만 처벌할 뿐, 은행과 기관에 대해서는 어떤 책임도 묻지 않고 있다”고 지적했다 그는 이어 “상업성 은행 및 현재 정보보호 ‘회색 지대’에 있는 각종 신용카드 협력업체(단체)들은 고객 정보보안에 대해 책임을 져야 한다”고 강조했다.

상하이 판양법률사무소 파트너인 류춘취앤은 “근본적으로는 개인정보보호법을 하루 빨리 입법해 개인정보의 보호 책임을 명확하게 해야 한다”고 말했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>