대통령도 털렸다, 사상 최악의 카드정보 유출 사태
KB국민·롯데·NH농협카드 등 세 군데 카드사의 1천5백만여 명 고객의 신상정보가 유출됐다. 정보 건수로 따지면 1억5백80만 건의 어마어마한 양이다. 이름, 휴대전화번호, 집·직장 전화번호와 주소, 결제계좌, 연소득, 주거 상황(자가/전세/월세 등), 차량 소유 여부는 물론 마일리지 카드 고객의 경우 여권번호까지 고스란히 빠져나갔다. 유출된 개인 정보에는 신용등급, 연체 정보가 포함돼 있고 국민·롯데카드는 다른 회사 카드 발급 현황이, 농협·롯데카드는 카드 만료일까지 노출됐다. 일부 인터넷 사이트에는 박근혜 대통령과 이명박 전 대통령, 반기문 UN사무총장의 개인정보도 유출된 것으로 나오고 있는 실정. 이에 금융감독원 측은 “장차관과 연예인 등의 고객정보 유출 여부는 직접 확인하지 못했지만, 워낙 많은 고객 정보가 유출됐기 때문에 포함됐을 수도 있다”고 말했다. 카드사 측에서는 카드 비밀번호와 인터넷 거래 등에 필요한 CVC번호(카드 뒷면의 3자리 인식번호)는 유출되지 않아 직접적인 금전 피해는 거의 없을 것이라고 피해자들을 안심시키고 있지만, 카드번호와 유효기간 만으로 일부 홈쇼핑 거래와 해외 직접구매 사이트, 배달음식 전화 주문 등은 가능한 것으로 알려지면서 마냥 안심할 수 없는 상황이다. 또 개인 정보를 활용한 보이스피싱(전화를 이용한 금융 사기)과 스미싱(스마트폰 문자를 이용한 소액 결제 사기) 등 2차 피해에 대한 우려가 적지 않은 상황. 그야말로 그 누구도 안심할 수 없는, 최악의 금융 사태인 셈이다.
사건 개요
대량의 고객정보 유출사건 전모가 드러난 것은 지난 1월 8일. 금융감독원은 창원지방검찰청 특수부가 신용정보회사인 ‘코리아크레딧뷰로(KCB)’의 직원 K씨를 3개 신용카드사(KB국민·롯데·NH농협카드)로부터 고객 정보를 대량으로 불법 수집 및 유포한 혐의로 기소했다고 밝혔다. K씨는 신용카드사의 위·변조 방지 시스템을 개발하는 업무를 맡아 용역 작업을 하는 과정에서 약 6개월 전 카드 회원의 개인정보 등을 불법으로 수집했고, 이 자료를 대출 광고업자 및 대출 모집인에게 넘긴 혐의를 받고 있다. 유출자의 USB에서는 1천5백만여 명 고객의 이름, 휴대전화번호, 주소 등 개인정보와 신용카드 번호, 결제 계좌 번호, 신용등급 등 신용정보가 발견됐다. 검찰 측은 최초 반출자를 검거하는 과정에서 원본을 회수했고, 더 이상의 확산 경로는 밝혀지지 않아 고객 정보의 외부 유출 가능성은 낮다고 밝혔다. 하지만 금융당국의 한 고위 관계자는 “사실상 경제활동을 하는 대부분의 고객정보가 유출된 것”이라며 사태의 심각성을 한 마디로 정리했다.
개인정보 유출, 그 이후는?
Q 정보 유출 여부는 어떻게 확인할 수 있나?
개인에 따라 유출된 항목은 각각 다르고, 최대 19 항목까지 유출될 수 있다. 각 카드사는 조만간 우편과 이메일, 문자메시지(SMS) 등을 통해 유출 사실을 별도로 통지할 예정이다.
KB국민카드 (국민은행 등 계열사 포함)
(www.kccard.com)
팝업창 하단 ‘고객정보 유출 여부 확인’ 클릭→‘정보 유출 확인을 위한 본인 인증용 개인정보 수집 이용 동의’ 클릭→인증 방법 선택(공인인증서, 신용카드, 휴대전화)
NH농협카드
(www.card.nonghyup.com) 팝업창 중간 ‘개인정보 유출 여부 바로가기’ 클릭→‘개인정보 수집 이용 동의’ 클릭→인증 방법 선택(신용카드, 휴대전화)
롯데카드
(www.lottecard.co.kr)
팝업창 중간 ‘개인별 조회’ 클릭→본인 인증 및 인증 방법 선택(공인인증서, 신용카드, 휴대전화)
Q 해당 카드사의 카드가 없는데도 정보가 유출됐다?
충분히 가능한 일이다. 현재 금융지주회사법에 따르면 계열사 간 고객정보 공유를 허용하고 있다. 이 과정에서 카드사가 개인정보를 마케팅에 이용하기 위해 계열사 은행 고객정보를 가져다 사용했을 가능성이 높다. 그러니 해당 회사의 카드를 가지고 있지 않은 고객도 정보 유출 여부를 확인할 필요가 있다. 또한 과거 사용했던 카드정보를 폐기하지 않은 경우 유출됐을 가능성도 있다. 카드사는 해지, 탈퇴한 고객의 정보도 통상 5년간 보관하기 때문이다. 따라서 카드를 오래전에 해지했거나 발급받고 한 번도 사용하지 않은 경우라도 유출 여부를 확인해봐야 한다.
Q 유출된 정보로 나도 모르게 타인이 카드를 발급받는 것이 가능한가?
명의를 도용해 카드를 복제하거나 발급받는 것은 사실상 불가능하다. 카드를 위·변조하려면 CVC(인증코드)와 비밀번호가 필요하다. 이 두 가지 항목은 이번 유출 내역에는 포함돼 있지 않은 것으로 알려졌다.
Q 결제계좌에서 돈이 빠져나갈 수 있나?
현재 유출된 정보만으로는 본인 동의 없이 계좌에서 임의로 돈이 빠져나갈(현금 인출) 확률은 거의 없다. 계좌이체를 하려면 계좌번호뿐만 아니라 공인인증서, 보안카드, 비밀번호 등이 필요하기 때문에 가능성은 희박하다.
Q 유출된 정보로 카드결제를 할 수 있나?
카드번호와 유효기간이 함께 유출된 NH농협카드, 롯데카드 등은 피해 가능성이 전혀 없다고 할 수 없다. 금융감독원은 현재까지 KB국민카드에서는 카드번호와 유효기간이 둘 다 유출된 사례는 없다고 밝혔다. 하지만 대부분의 ‘비대면 거래’의 경우 휴대폰 SMS 인증을 받거나 별도의 패스워드를 입력하도록 요구하기 때문에 불법 카드 거래가 쉽지는 않은 상황이다. 다만 해외 인터넷 쇼핑, 일부 국내 홈쇼핑, 영세 가맹점이나 보험 판매·방문 판매 거래 등은 카드번호와 유효기간 정보만으로 결제가 가능해 2차 피해가 우려되고 있다. 만약 정보 유출로 피해가 발생했다면 카드사와 금융감독원 신고센터에 바로 신고해야 한다. 고객정보 유출로 인한 2차 피해는 카드사에서 100% 손실액을 보상해준다. 카드사에 전화할 때는 고객정보 안내 전화를 이용해야 한다.
응급 처방
카드 재발급
가장 안전한 방법은 ‘카드 재발급’이다. 카드 위·변조나 복제 가능성이 거의 희박하지만, 카드번호와 유효기간이 함께 유출된 NH농협카드와 롯데카드 피해자라면 기존 카드를 파기하고 재발급 받는 방법이 가장 안전하다. 카드번호 자체가 바뀌기 때문에 부정 사용 자체를 막는 것이다. 따라서 유효기간 정보가 유출된 고객은 카드사 콜센터나 영업점을 방문해 재발급 신청을 할 것을 권한다. 신분 도용이 불안한 고객은 신분증 재발급을 할 수도 있다. 특히 주민등록번호와 발급 일자 등이 같이 유출된 경우 만약의 사태에 대비할 것. 이와 별도로 해당 3사 카드사는 카드 결제 내용을 실시간 휴대전화 문자메시지로 알려주는 ‘알림 서비스’를 1년간 무료로 제공하기로 했다. 계좌번호의 경우 비밀번호는 유출되지 않았기 때문에 통장을 재발급받을 필요는 없다.
비밀번호 변경
카드 재발급 외에 피해를 줄이는 방법으로는 ‘비밀번호 변경’이 있다. 특히 주민번호, 전화번호, 주소 등이 함께 유출됐기 때문에 여기에서 유추할 수 있는 비밀번호 사용자라면 바꾸는 것이 안전하다. 결제 계좌번호의 비밀번호를 바꿔 만일의 사태에 대비하는 것도 좋다. KB국민카드는 전화로는 비밀번호 변경이 불가능하고 신분증과 카드를 갖고 영업점을 방문하거나, 공인인증서를 이용해 홈페이지에서 변경할 수 있다. 롯데카드는 홈페이지와 전화로 모두 변경 가능하다. 신용평가회사들이 제공하는 ‘개인정보 보호 서비스’를 이용하는 것도 방법이다. 고객이 대출을 받거나 카드를 발급 받을 때 금융회사는 고객 신용정보를 조회하게 되는데, 이때 신용정보 조회 사실을 고객에게 즉각 문자메시지로 알려주는 서비스다. 혹시 명의 도용으로 인한 불법 대출 및 카드 발급을 할 경우 개인이 바로 확인할 수 있어 피해를 줄일 수 있다. 이번 사태의 원인을 제공한 신용평가회사 ‘코리아크레딧뷰로(KCB)’는 모든 피해 고객에게 1년간 무상으로 ‘개인정보 보호 서비스’를 제공하기로 했다.
의심되는 URL 클릭 금지
사태 이후 당분간 보이스피싱이나 스미싱이 기승을 부릴 것으로 예상된다. 각 카드사는 피해 고객에게 유출 내용을 통보하고 있는데, 특히 금융회사 이름을 사칭해 정보를 물어보는 경우를 조심해야 한다. 금융사는 계좌 비밀번호, 보안카드 일련번호 및 전체 보안카드 번호 등의 입력을 요구하지 않는다.또 농협은 메일과 우편 외에 전화나 SMS를 통한 안내를 일체 하지 않고 있으니 유념해두자. KB국민카드는 1588-1688, 롯데카드는 1588-8100이 공식 콜센터 번호이며 그 외 번호로 온 전화나 문자메시지는 각별히 주의할 것. 또 이번 사고와 관련해 출처가 불문명한 메일 또는 문자메시지를 열어 보거나, 인터넷 링크주소(URL)는 절대 클릭해서는 안 된다. 카드사에서 보내는 문자메시지나 메일에는 URL이 전혀 없다.
피해 즉시 카드사에 신고
현금 불법 인출, 카드 도용 등 정보유출로 인한 2차 피해가 발생하면 각 카드사와 금감원에 즉각 신고해야 한다. KB국민카드는 1899-2900, 롯데카드는 1588-8100, NH농협카드는 1644-4199가 피해 접수 콜센터다. 또는 한국인터넷진흥원의 개인정보침해신고센터(118)로 신고하는 것도 방법이다. 1월 20일부터 신고센터는 24시간 상시 운영한다. 금전 피해는 전액 카드사가 보상할 예정이며, 카드사가 보상하지 않는 경우 금융감독원의 분쟁 조정 절차를 통해 구제가 가능하다. 유출된 개인 정보가 유통되는 것을 발견하면 즉각 금감원 정보유출감시센터(1332)로 신고해야 한다.