카드 3사 개인정보 유출 사고 어떻게 된 걸까요?
카드 3사 개인정보 유출 사고를 아시나요?
2014년에 발생한 카드 3사의 개인정보 유출 사고는 대한민국 역사상 가장 큰 규모의 개인정보 유출 사고입니다.
사망자와 중복을 포함해 약 1억 건이 넘는 고객정보가 유출되었습니다. 이는 대한민국 경제인구의 약 75%에 해당하는 숫자입니다.
카드 3사는 2012년 ~ 2013년 부정방지사용시스템(FDS)의 개선 작업을 위해 한 기업과 용역 계약을 체결했는데요.
개선 작업 과정에서 전산 프로그램의 테스트를 위해 운영 환경에서 개발 환경으로 데이터를 이관하는 작업이 필요했습니다.
이 과정에서 한 직원이 USB를 사용해 데이터를 유출했습니다.
‘가장 큰 규모의 개인정보 유출 사고’라는 말만큼 유출된 정보는 방대했습니다.
카드 3사 모두 개인 신상정보와 결제계좌가 유출되었고 카드번호, 카드 유효기간이 유출된 카드사도 있었습니다.
그리고 이름, 주민등록번호, 연락처, 주소 같은 기본적인 개인정보뿐만 아니라
연봉, 결혼 여부 등과 같은 세부 정보와 결제일, 신용등급, 신용한도 금액과 같은 민감한 금융정보까지 유출되었습니다.
이 사건은 2차 유출까지 발생해 논란이 더 커졌는데요.
검찰은 중간 수사결과 발표에서 불법 수집된 원본 파일과 1차 복사 파일 등을 압수함으로써 외부 유출은 차단된 것으로 추정했고,
금융당국은 검찰의 발표를 인용해 “2차 유출은 없는 것으로 확인되었다”고 단언했습니다.
하지만 금융당국과 검찰의 중간 수사결과 발표와 다르게 유출된 고객 정보 중 8,050만 건이 대부중개업자에게 텔레마케팅 등의 목적으로 팔린 것으로 확인되었습니다.
*카드사별 유출 수 : 국0카드 : 5,300만 건 / 농0카드 : 2,500만 건 / 롯0카드 : 2,600만 건
대응 과정마저 허술한 카드사들…
보안이 생명인 카드사들 대응 과정만큼은 철저할 줄 알았지만, 개인정보 유출 사고가 발생했을 때와 다를 바 없었는데요.
카드사들은 고객 문의로 콜센터 대기 시간이 20분을 넘는 등 업무 차질로 인해 일부 영업점은 업무 시간을 연장하기도 했습니다.
하지만 늘어나는 고객 문의를 감당하기 힘들어 대응을 위해 전 국민이 자신의 개인정보 유출 여부를 확인할 수 있는 사이트를 제작하였습니다.
이 과정에서 한 카드사는 유출 여부를 이름, 생년월일 그리고 주민등록번호의 마지막 자리를 통해 조회할 수 있는 시스템을 구축했는데요.
해당 시스템에서 이용자는 주민등록번호 마지막 자리에 0에서 9까지의 숫자를 입력하면
전 대통령, 정부의 고위직 그리고 주요 기업 대표들을 포함한 다양한 인사들의 개인정보 유출 여부를 확인할 수 있어 개인정보 오용이 이슈가 되었습니다.
또 다른 카드사는 개인정보 유출 확인 페이지에서 이용자가 입력한 정보를 암호화하지 않고 평문으로 전송했습니다.
이를 보고 한 보안 전문가는 “사용자들이 같은 무선 네트워크를 쓰는 상황에서 입력 문자 그대로 개인정보가 전송될 경우 전송되는 모든 데이터를 해커가 볼 수 있어 위험하다”고 말했습니다.
유출 사고에 급하게 대응하다 보니 정작 중요한 정보 보호는 챙기지 못했습니다.
개인정보 유출 사고에 대한 대응 과정임에도 보안 방식에 변화가 없었다는 점에서 여론의 빈축을 샀습니다.
개인정보, 왜 유출되었을까?
🤔보안이 중요한 카드사 개인정보가 이렇게 쉽게 유출되나요?
개인정보가 유출된 카드사의 경우 대처가 안일했습니다.
용역 계약을 체결한 업체에서 고객의 원본 데이터를 요구했고 카드사는 이를 허용했는데요.
개인정보 규제에 따르면 전산 프로그램의 테스트를 위해서는 데이터를 변환/암호화해서 제공해야 하는데 아무런 조치 없이 원본을 제공했습니다.
그리고 인가되지 않은 보조저장매체를 통제하는 시스템도 없었습니다.
그래서 본인 PC에서 USB를 이용하여 개인정보 탈취가 가능했습니다.
개인정보가 유출되지 않은 카드사도 있다는 것 알고 계신가요?
카드 3사 외에 다른 카드사들도 해당 용역업체와 계약 중이었는데요.
이 중에서 개인정보 유출 사고를 피한 카드사도 있습니다.
🤔개인정보가 유출되지 않은 카드사는 어떻게 한 건가요?
개인정보가 유출되지 않은 카드사는 기존 물리적 보안과 보안 규정이 까다롭게 되어 있다고 알려졌습니다.
한 카드사는 개인정보를 유출한 직원이 개인정보 원본과 USB 사용을 요구하자 직원을 교체했다고 합니다.
그리고 외부 업체 직원이 자사의 데이터를 이용해 작업을 하게 될 경우 가상 데이터로 작업을 하게 되고, 모든 작업 컴퓨터마다 암호화 시스템이 탑재되어 외부 반출이 불가능했다고 합니다.
또 다른 카드사는 전 직원을 대상으로 업무시스템 로그인 시 OTP 추가인증이 필요하며, 외부저장매체를 통한 데이터 저장 및 복사가 금지되어 있고,
승인받지 않은 전산기기는 차단을 통해 내부정보의 유출을 막고 있었다고 합니다.
카드 3사 개인정보 유출 사건…그 이후는?
금융위원회는 카드 3사에 대해 2014년 2월 17일부터 5월 16일까지 3개월의 영업정지 처분과 과태료 600만 원을 부과했습니다.
영업정지로 인해 해당 기간 신규 회원가입, 대출, 카드슈랑스 등의 업무가 전면 금지되었습니다.
개인정보보호법 위반으로 기소된 카드 3사에 대해 1심 재판부는 “정보 유출 피해를 당한 주체에게 정신적 고통을 줄 뿐만 아니라 2차 피해를 가져올 수 있는 대단히 중대하고 심각한 문제”라며
2개 사에 1,500만 원, 1개 사에 1,000만 원의 벌금형을 선고했습니다.
2심 재판부도 “카드사들이 이동식저장매체(USB) 반·출입 통제 및 보안프로그램 관련 관리·감독은 물론 안전성 확보 조치 의무 등을 다하지 않았다”며 1심 판결을 유지했습니다.
대법원도 카드 3사와 검찰의 상고를 기각하며 원심을 확정했습니다.
카드 3사의 카드 해지 및 탈퇴 신청자 수는 700만 명을 넘으면서 브랜드 이미지에 큰 손상을 입었습니다.
이에 더해 일부 사용자들은 손해배상 청구를 위해 집단 소송을 제기했습니다.
카드사들의 주장은 외주업체 직원이 계획적으로 저지른 범죄를 사전에 방지하는 것은 불가능하며, 개인정보 유출 사고에 대한 적절한 조치를 취했다고 했지만
재판부는 피해자들의 손을 들어주었습니다.
법원은 1인당 10만 원씩 국0카드 110억 원, 농0카드 74억 원, 롯0카드 72억 원 총 256억 원을 피해자에게 지급하라고 판결했습니다.
당초 피해자들이 청구한 금액은 1인당 20만 원 ~ 70만 원씩 총 532억 1,700만 원을 요구하였습니다.
하지만 법원은 ‘유출된 정보가 판매되기 전 범인이 검거되었고, 유출된 정보를 이용한 카드 위·변조나 부정 사용으로 인한 재산적 손해가 발생할 가능성이 그리 크지 않아 보이고,
실제로 재산상 피해가 발생한 사례가 확인되지 않는다’는 이유로 피해자들의 요구는 받아들여지지 않았습니다.
*국0카드 원고 : 약 11만 1,100명 / 농0카드 원고 : 약 7만 2,089명 / 롯0카드 원고 : 약 7만 4,000명
*카드슈랑스 : 카드 + 보험의 합성어로 카드사가 보험 TM 채널을 통해 보험상품을 판매하는 것
8년만에 판결난 용역업체와 카드사 간의 개인정보 소송 사건
최근 카드 3사 개인정보 유출 사건이 다시 주목받았는데요.
카드 3사 중 한 카드사가 개인정보를 유출한 용역업체를 상대로 2016년에 제기한 민사소송의 최종 판결이 내려졌기 때문입니다.
2021년 1심에서 법원은 카드사의 손을 들어주었고, 용역업체가 카드사에 손해액의 60%인 303억 원을 배상하라고 판결했습니다.
용역업체는 1심 선고에 불복하여 2023년 항소했습니다.
하지만 항소심 법원은 오히려 카드사의 손해액을 늘렸고, 손해액의 70%인 623억 9,998만 원을 배상하라고 판결했습니다.
이에 다시 용역업체는 2심 선고에 불복하여 상고했습니다.
결국 민사소송은 대법원까지 가게 되었습니다.
하지만 용역업체의 바람과는 달리 대법원은 상고심에서 2심 판결에 문제가 없다고 보고 상고를 기각하였고, 카드사에 623억 9,998만 원과 지연손해금을 지급하라는 판결이 확정되었습니다.
카드 3사 개인정보 유출 사건 이후 개정된 법안
해당 사건으로 인해 개인정보보호법을 비롯한 여러 법안이 개정되었는데요.
어떤 법이 어떻게 개정되었는지 알려드리겠습니다
1. 개인정보보호법
- 법정손해배상제도 도입 : 개인정보처리자의 고의 또는 과실로 개인정보가 분실·도난·유출·변조·훼손된 경우
300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. - 징벌적 손해배상제도 도입 : 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 분실·도난·유출·변조·훼손된 경우
정보주체에게 손해가 발생한 때 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. - 개인정보 파기 의무 강화 : 개인정보처리자는 보유기간의 경과, 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때는 지체 없이 복구·재생할 수 없도록 개인정보를 파기하여야 한다.
2. 정보통신망법
- 과징금 향상 : 이용자의 동의 없이 개인정보를 수집하는 행위 등 개인정보 침해행위에 대한 과징금 상한율을 관련 매출액의 1%에서 3%로 향상
- 과징금 상한 삭제 : 개인정보 침해행위 중 개인정보에 대한 기술적·관리적 보호조치를 하지 아니함으로써 개인정보가 유출되는 경우 과징금 상한(1억 원) 삭제
3. 주민등록법
- 주민등록번호 변경 : “주민등록번호 변경을 일률적으로 허용하지 않는 것은 그 자체로 개인정보의 자기결정권에 대한 과도한 침해”라며 헌법 불합치 결정
4. 신용정보법
- 법정손해배상제도 도입 : 신용정보회사, 신용정보집중기관 및 신용정보제공·이용자(이하 신용정보회사 등)나 그 밖의 신용정보 이용자가 고의 또는 과실로 동법 규정을 위반하여
개인신용정보가 분실·도난·유출·변조·훼손된 경우, 신용정보주체는 신용정보회사 등이나 그 밖의 신용정보 이용자게에게 손해배상을 청구하는 대신
300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. - 징벌적 손해배상제도 도입 : 신용정보회사 등이나 그 밖의 신용정보 이용자가 고의 또는 중대한 과실로 동법을 위반함으로써 개인신용정보가 분실·도난·유출·변조·훼손되어
신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. - 과징금 규정 신설 : 개인 비밀을 업무 목적 외에 누설하거나 이용한 경우, 불법 누설된 개인 비밀임을 알고 있음에도 타인에게 제공하거나 이용한 경우에 관련 매출액의 3% 이하의 과징금을,
신용정보전산시스템에 대한 보안관리 대책을 세우지 않아 개인 비밀이 분실·도난·유출·변조·훼손된 경우 50억 원 이하의 과징금을 부과할 수 있다.
개인정보 보호에 대한 중요성이 커지면서 그에 따른 법안들도 점점 강화되고 있습니다.
규제 준수를 위해서는 다양한 조치를 통해 개인정보를 보호해야 하며 개인정보 유출을 예방하는 것이 중요합니다.
🤔어떻게 예방할 수 있나요?
개인정보 유출을 막은 카드사의 보안을 보면 알 수 있어요.
로그인 시 아이디, 비밀번호 외 문자 메시지 인증 번호나 일회용 비밀번호를 요구하는 OTP 인증 방식,
실제 데이터를 암호화하여 보관·관리하며, 승인되지 않은 외부저장매체의 접근을 방지하는 방식을 통해 유출을 막았습니다.
이런 예방 조치를 캐치시큐를 통해 한 번에 이용할 수 있습니다.
캐치시큐의 엔터프라이즈 기능은 개인정보 암호화 저장, DLP 솔루션을 통한 보조저장매체 통제, IP제한, 2단계 보안 인증 기능 등을 제공하기 때문에 개인정보 유출을 예방할 수 있습니다.
개인정보 보호 파트너 캐치시큐와 함께 하세요!