[기독일보 박성민 기자] 올 초 카드사 개인정보 대량 유출이 벌어진 직후 금융당국이 '개인정보 특별검사'를 실시한 결과 우리·BC·하나SK카드의 개인정보 관리도 허술한 것으로 드러났다.
개인정보 유출에 대한 국민들의 불안감이 그 어느때보다 높은 상황이라 곱지 않은 시선을 받고 있다.
11일 금융당국에 따르면 금융감독원은 이들 카드사에 '개인정보 보호 대책을 강화하라'는 내용의 경영유의·개선 명령을 내렸다.
금감원에 따르면 우리카드는 올해 2월 탈퇴회원 고객정보 변경업무 개발을 위해 데이터베이스를 작성·운영하면서 다른 카드사와 통신 전문 연계테스트를 실시했다. 이 과정에서 주민등록번호, 카드번호 등 이용자정보 약 5만건을 변환하지 않고 사용한 것으로 드러났다.
카드사 등 금융회사는 원칙적으로 테스트 등에 고객정보를 사용할 수 없지만, 부하(load)테스트 등 불가피한 경우에 한해 고객정보를 변환해 사용하고 테스트가 끝나면 즉시 삭제해야 한다.
통합단말기(WINC)에서는 직원들이 담당업무와 관련이 없는 부분에 대해서도 조회·출력 권한을 갖고 있어서 비밀번호 및 고객정보 유출 위험이 있는 것으로 나타났다.
또 일반 USB 저장장비를 사용하는 경우 부서장의 장비 사용승인을 받고 사용기간을 최대 7일로 설정했으나, 정작 사용 후 삭제 여부를 확인하는 절차가 없기 때문에 중요파일이 유출될 위험이 큰 것으로 드러났다.
BC카드의 경우 개인회원 가입신청 시 수집한 고객정보를 제휴업체에게 제공하면서 신용카드 유효기간 등의 고객정보를 제공한 사실이 적발됐다.
아울러 금융회사는 암호화한 경우를 제외하고 DMZ(회사 내부망과 외부망인 인터넷 사이에 설정한 중립구간) 구간 내 고객정보 등을 저장·관리할 수 없다. 하지만 BC카드는 DMZ 구간에 있는 홈페이지 웹 서버에 이름, 주민등록번호 등 이용자 정보를 암호화하지 않고 그대로 저장했다.
하나SK카드의 경우 웹 회원 비밀번호를 국가에서 권고하는 보안강도에 미달하는 암호알고리즘을 사용하고 있어 해킹 등에 의해 비밀번호가 노출될 위험성이 큰 것으로 나타났다. 또 개인정보가 포함된 데이터를 전체 사용자 공유폴더를 통해 열람할 수 있도록 방치한 것으로 드러났다.
