개인정보보호개인정보유출

[보도자료] 대규모 금융·개인정보유출사고 후속 조치에 대해 금융위에 질의서 보내

By 2020/07/06 No Comments

수신: 언론사 정치부·사회부
발신: 전국사무금융노동조합연맹,진보네트워크센터,참여연대 정보인권사업단
제목: [보도자료] 대규모 금융·개인정보유출사고 후속 조치에 대해 금유위에 질의서 보내
발 신 일 : 2020. 07. 06.(총 7 쪽)
문 의 : 참여연대 정보인권사업단(담당 : 이지은 간사 02-723-0666)


보 도 자 료

 

대규모 금융·개인정보유출사고 후속 조치에 대해 금융위에 질의서 보내
정확한 유출 규모, 유출된 정보 내용 등 질의
개정 신용정보보호법 하 금융·개인정보 유출 방지 대책도 질의


  1. 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대는 오늘(7/6) 지난 6월 15일 언론보도를 통해 알려진 대규모 금융·개인정보 유출 사고의 후속대책에 대해 금융위원회(위원장 은성수, 이하 ‘금융위’)에 질의서를 보냈다.
  2. 금융위는 지난 6월 15일 경찰이 작년 카드 정보 해킹 용의자의 여죄를 수사하는 과정에서 대량의 카드정보를 담은 유에스비(USB, 이동형 데이터 기억장치)를 압수했지만 3개월 넘게 금융위, 금감원 등 관계기관과 협조가 이루어지지 않아 정확한 피해 규모와 상황을 파악하지 못하다가 여론이 악화되자 관계기관 대책회의를 열고 공조하겠다는 발표를 하였다. 그리고 지난 7월 3일 금감원은 그동안 넘겨받은 자료를 분석하여 이번 사건에서 유효카드는 61.7만 건이 유출되었고 일부 카드의 부정사용이 있었다고 발표하였다. 이에 단체들은 아직 경찰이 구체적인 유출경위 및 방법 등을 수사 중이라 전체적인 정보 유출 규모나 피해사례가 금감원 발표보다 더 클 수 있으며 무엇보다 최초 경찰이 인지한 시기로부터 3개월 이상 금융위원회, 금감원 등 관계기관의 공조가 이루어지지 않은 점은 납득하기 어렵다며 질의 배경을 밝혔다.
  3. 구체적으로 세 단체는 ►이번 사건에서 경찰이 해킹용의자로부터 추가 압수한 외장하드에 카드정보, 개인정보 등을 발견하고 금감원 등에 분석 등 협조를 요청하였으나 이에 즉각 응하지 않은 이유, ►이번 사건의 정확한 유출 규모, 유출된 정보 내용, ► 2014년 롯데카드, 국민카드, 농협카드사의 사상 최대 규모의 카드정보 등 정보 유출사고 이후 취한 금융위의 금융정보 유출 방지 대책과 이에 대한 평가, ► 개정 신용정보법 하의 데이터 결합 및 반출 절차에서 개인정보 유출 위험을 낮추기 위한 방안 등을 질의했다. 끝.

▣ 붙임1 : 금융위원위원회 질의서

붙임 1. 금융위원위원회 질의서

금융위원위원회 질의서

[금융위원회의 1.5TB 금융·개인정보 유출 사고 후속 대책에 대한 질의서]

1. 이번 사건에 대한 금융위원회의 후속 대책 계획

○이번 사건 개요
-2019년 7월 9일 서울청 사이버수사대가 은행 해킹 혐의(여신전문금융업법 위반) 용의자 검거 및 관련 수사 진행
-2019.11~2020.1, 추가 범행을 수사하는 과정에서 1.5테라바이트(TB) 분량의 외장하드 압수하고 개인정보, 신용카드 정보 등을 발견함
-2020.3월, 경찰이 금감원과 카드사에 알리며 카드사별 내용 분류와 예방 조치를 요청했으나 금감원은 금전적 피해 신고가 아직 없고, 수사물을 분석할 권한이 없다는 이유로 이를 거부하였다고 알려짐
-2020. 6.15. 언론보도 이후에야 금융위원회, 금감원, 경찰청 공조를 위한 관계기관 대책회의 개최.
-2020.7.3. 금감원 보도참고자료를 통해, 경찰청으로부터 카드번호를 제공받은 금융회사 14개이며, 카드번호, 유효기간이 유출되었고 유효카드는 61.7만건이라고 함. 최근 3개월간 유출카드(61.7만개) 중 138건(0.022%), 약 1,006만원이 부정사용된 것으로 추정된다고 밝힘

○여신금융협회의 자료에 따르면 2019년 12월 우리 국민의 신용카드와 체크카드 수는 각각 110,976,000개, 110,701,000개이며 단순계산하면 2019년 경제활동인구 1인당 신용카드 및 체크카드를 각 약 3.9개 가지고 있습니다. 전체 경제활동인구가 적어도 1개 이상 가지고 있는 신용카드 내지 체크카드 정보 및 개인정보가 유출되었다는 보도가 나온 6.15.이후에도 사실상 전체 경제활동인구가 해당 피해자가 될 수도 있는 상황에서 이번 사건과 관련해 즉각적인 안내를 했다는 금융회사는 없었습니다.

○또한 이번 사건의 경우 경찰이 이미 작년 11월에 관련 압수물을 확보했고, 올해 1월부터 2월까지 수사하는 과정에서 대량의 금융 개인정보를 발견하여 지난 3월 금융감독원에 협조를 요청하였음에도 공조가 이루어지 않아 관련 기관들간의 ‘핑퐁게임’이라는 비난까지 일었습니다.

○금융위원회의 6월 15일자 보도자료에 따르면 이번 사건은 작년 2019년 7월 26일 금감원이 발표한 ‘카드번호 도난사건’의 연장선상에 있는 사건으로, 당시 금감원은 경찰청과 협조하여 긴급대응 및 소비자 보호조치 시행을 하였다고 밝히고 있습니다. 작년 카드번호 도난사건의 경우, 금감원은 경찰청으로부터 입수한 카드번호를 금융회사에 즉시 제공하였습니다. 또한 입수 자료를 분석한 결과 카드번호, 유효기간 등은 유출되었고, 주민등록번호, CVC,비밀번호는 유출되지 않았으나 그럼에도 15개 관련 카드사 등으로 하여금 관련자들에게 즉시 개별안내 등의 조치를 취하도록 하였습니다.

-> 금융위는, 6.15. 보도자료를 통해 이번 사건은 작년의 카드번호 도난사건의 연장선이라고 한 바 있습니다. 그러나 작년 사건에서 취한 일련의 조치들과 달리 경찰이 분석 요청을 한 3월 이후 언론보도로 사건이 알려진 지난 6월 15일까지 금융위원회, 금감원 등이 이 사건과 관련하여 취한 조치는 없는 것으로 알고 있습니다. 개인정보 유출이 발생하면 가능한 빨리 피해 사실을 파악하고 정보주체에게 이 사실을 통지하는 등 소비자 개인정보 보호를 위한 조치를 취해야 하는 것은 기본 중의 기본입니다. 귀 금융위가 이 사건과 관련하여 경찰청의 분석 요구에도 불구하고 작년 사건과 달리 어떤 조치도 취하지 않은 이유는 무엇입니까?

-> 지난 6.15일자 서울신문 단독보도에 따르면, 경찰이 발견한 외장하드에 담겨있는 정보는 “신용·체크카드 각종 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보”라고 알려지고 있는데, 7.3.금감원의 보도참고자료는 유출정보가 “카드번호, 유효기간”이라고 설명하고 있습니다. 경찰이 확보한 외장하드에서 발견된 카드정보 등을 각 금융회사가 충분히 그리고 완전하게 분석한 결과인지, 아니면 현재 진행 중인 수사와 분석이 완료되어야 정확한 유출 규모, 유출된 정보 내용 등이 밝혀질 것이며 따라서 이번 7월 3일자 보도내용은 잠정 결과인지에 대해 명확하게 밝혀 주십시오.

2. 반복되는 개인정보 유출에 대한 대책

○지금까지 신용정보 등 유출사고는 끊이지 않고 일어나고 있습니다. 지난 10여 년 동안 언론에 보도된 개인정보 유츨 사건 중에서 특히 주목받은 금융·개인정보 유출사고만 해도 아래와 같습니다.

업체(기관) 시점 건수
(명/건)
개인정보 항목 개요 사후제재
현대캐피탈 2011 148만명 이름, 주민번호, 이메일주소, 휴대전화번호, 대출고객 비밀번호 등  대부중개업체 직원이 해커를 통해 현대캐피탈 서버에 접속해 해킹프로그램 설치, 석달간 1,300회 걸쳐 개인정보 유출함  대표이사 ‘주의적 경고’ 
삼성카드 2011 192만명 이름, 나이, 전화번호, 직장명, 카드번호, 이메일주소 등  영업직원이 삼성카드 서버에 침입해 196회 걸쳐 192만명 고객정보 유출

신용정보회사 담보대출업무에 사용

삼성 대규모 유출사실 알고도 12일 지나서야 고객에게 알려 늑장대응, 은폐의혹 제기

유출직원 구속기소

과태료 600만원

삼성카드 ‘기관주의’

대표이사 ‘주의’조치

하나SK카드 2011 9만7천명 이름, 연락처, 주민번호 등 텔레마케팅 지원업무 담당직원이 개인정보를 개인이메일 통해 유출하여 분양대행업자에 판매 과태료 600만원

하나SK카드 ‘기관주의’

하나SK카드 사장 ‘주의적 경고상당’ 조치

SC은행 2011-2012 10만3천건 신용대출상품 상담자 이름, 주민번호, 휴대전화번호, 직장명 등 전산프로그램 개발 맡은 외부업체 직원이 3개월간 고객정보 USB 메모리에 저장해 대부중개업자 및 대출모집인에 전달(건당 50~500원에 거래) 기관경고

과태료 600만원

임직원 11명 징계

씨티은행 2013 3만4천건 이름, 휴대폰번호, 대출액, 만기일자 등 대출담당직원이 은행 내부 전산망에서 개인정보 문서로 출력해 외부 유출 기관경고

과태료 600만원

메리츠화재 2013 16만명 보험가입자의 이름, 연락처, 직업, 주소, 생년월일, 가입상품명, 가입금액 등  내부직원이 고객 계약정보 유출 기관경고

과태료 600만원

카드3사
(국민카드, 농협카드, 롯데카드)
2013-2014 1억580여만건 이름, 주민번호, 연락처, 주소, 결제계좌, 연봉, 결혼여부, 자동차 소유여부, 결제일, 신용한도금액, 신용등급, 직장정보, 주거상황, 이용실적금액, 결제일, 연소득, 신용한도금액, 타사 카드보유현황 등 KCB(코리아크레딧뷰로) 신용평가사 직원이 카드사에 파견을 나가 고객정보 USB에 담아서 유출, 대출광고업자와 대출모집인에 정보 넘김 과태료 600만원

신규업무 영업정지 3개월 

손해배상소송 : 327건 16여만명 소송진행 중  1인당 7만원~10만원 인정 사례 있음. 
국민카드, 농협은행 벌금 1500만원
롯데카드 벌금 1000만원 선고

통신3사, 삼성카드 등 20개 기관 2017 6억5천만건 통신, 금융, 쇼핑 등 이용하면서 제공하거나 발생한 각종 신용정보, 통신정보 등 20개 기업이 비식별조치가이드라인에 기대어 주민번호, 생년월일 등 일부 식별자를 삭제하거나 암호화하여 제3자 제공하고 기업 상호간 공통고객 개인정보를 결합한 사례 2017년 11월 시민단체 고발, 무혐의 불기소 종결
빗썸 2017 4만건 이름, 이메일, 휴대폰번호, 거래건수, 거래량, 거래금액, 홈페이지 아이디, 비밀번호 등 가상통화 거래사이트 빗썸에서 해킹사고로 3만 6487건의 개인정보 유출됨. 직원 PC의 백신업데이트 미비 등 기초적인 실수 과징금 4,350만원

과태료 1,500만원

책임자 징계권고

유진투자선물 등 20개 업체 2017 3,300만 건 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소 등 유진투자선물은 상속인 금융거래조회 민원서비스 이용과정에서 제출된 개인정보 30만건 가량 유출됨. 보안망 허술한 업체 DB에 직접 침입해 개인정보 유출 유진투자선물 과태료 4,000만원, 기관주의
신용카드 정보 90만건 다크웹 등 인터넷 암시장에서 유통됨 2015~2020 90만건 .16자리 카드번호, 유효기간, 3자리 CVC(CVV)번호 등이 유출 2015년 1월부터 올해 5월까지 약 5년 5개월 간 총 90만8599건의 국내 카드정보가 ‘다크웹’을 통해 해외 등지에서 불법 유통됨. 비밀번호는 유출되지 않았다고 함.2020.4월 싱가포르 사이버보안업체 ‘그룹-IB(GIB)’를 통해 국내에 처음 알려짐. 알려진 바 없음
신용카드 체크카드 금융정보 및 개인정보 유출 2020 유출 규모 파악 못함(2020.6.30 현재) 1.5TB 분량의 외장하드를 경찰이 해킹용의자로부터 압수하였고 신용·체크카드, 은행계좌번호, 주민등록번호, 휴대전화번호 등의 금융·개인정보가 담긴 것으로  2019년 6월 하나은행 해킹 용의자를 검거하여 여죄를 수사하던 중 압수물에 금융, 개인정보가 들어있는 것을 발견하고 2020년 3월 초 금감원에 관련 데이터를 넘기면 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청하였으나 금감원은 수사 당국이 압수물을 먼저 분석한 뒤 금감원에 넘겨야 한다는 등 조치를 취하지 않고 6월 15일 언론에 의해 보도된 후에야 금융위, 금감원, 경찰이 공조하기로 함 수사 중                                                                                    

 

-> 이 중 그 규모와 유출 정보 면에서 엄청난 사회적 충격을 던져주었던 지난 2014년 3개 카드사 대규모 개인정보 유출 사건 후 금융위원회가 취한 카드정보, 개인정보 유출 방지를 위한 대책은 무엇이었으며 이에 대한 사후평가는 무엇입니까?

-> 반복되는 신용정보 관련 유출 사고의 원인은 무엇이라고 생각하십니까? 이에 대한 진단과 대책은 무엇인지 알려주십시오.

○새로 개정되어 8월 5일 시행을 앞두고 있는 「신용정보보호와 이용에 관한 법률」에 따라 신용정보의 목적 외 이용 및 결합 등 활용이 지금보다 훨씬 쉬워질 것입니다. 정보주체의 동의없이 가명처리하면 산업적 연구에도 활용할 수 있는 바, 카드사를 비롯한 금융회사의 신용정보 수집 및 집적과 활용에 대한 동기가 법개정 이전과는 비교할 수 없을 만큼 커질 것입니다. 이와 같은 달라진 신용정보 관련 제도 하에서 금융소비자 보호에 관한 책무를 지고 있는 금융위원회는 금융소비자의 보호에 관한 방안도 법개정 이전과는 달라야 할 것입니다.

-> 개정 신용정보법 하의 데이터 결합 및 반출을 통해 고객정보가 기업 간에 공유되면 개인정보 유출의 위험성이 더욱 높아질 것으로 보이는 바, 이러한 위험성을 낮추고 개인정보법에 따른 절차와의 통일성을 위해 결합기관 내에서의 접근을 원칙으로 하는 것에 대해 어떤 입장인지 밝혀 주십시오.