일요주간 - 우리카드 등 개인정보 관리 허술...＂탈퇴회원 고객정보 위험 노출＂

▲ 지난 2월 7일 금융감독원 연수원에서 열린 개인정보 불법유통 감시단 발대식.(사진=금융감독원 제공)

[일요주간=이수근 기자] 올 초 카드사 개인정보 대량유출 사태 이후 금융당국이 ‘개인정보 특별검사’를 실시한 결과 우리·BC·하나SK카드의 고객 개인정보 관리도 허술한 것으로 드러났다.

금융감독원은 11일 이들 카드사에게 ‘개인정보에 대한 보호 대책을 강화하라’는 내용의 경영유의 조치 및 개선명령 내렸다.

우리카드는 올해 2월 탈퇴회원 고객정보 변경업무 개발을 위해 데이터베이스를 작성·운영하면서 다른 카드사와 연계해 통신 전문 테스트를 실시했다. 이 과정에서 주민등록번호, 카드번호 등 이용자정보 약 5만건을 변환하지 않고 그대로 사용했다는 것이 금감원의 설명이다.

금융회사는 원칙적으로 테스트 등에 고객정보를 사용할 수 없다. 성능 부하(load)테스트 등 불가피한 경우에는 고객정보를 변환해 사용하고 테스트 종료 후 즉시 삭제해야 한다.

통합단말기(WINC)에서는 직원들이 담당업무와 관련이 없는 부분에 대해서도 조회·출력 권한을 갖고 있어 고객 비밀번호 및 개인정보에 대한 유출 위험성이 있는 것으로 나타났다.

또한 일반 USB 저장장비를 사용하는 경우 부서장의 장비 사용승인을 받고 사용기간을 최대 7일로 설정했으나, 정작 사용 후 삭제 여부를 확인하는 절차가 없었다. 때문에 중요파일이 유출되어 악용될 위험성이 큰 것으로 드러났다.

BC카드의 경우 개인회원 가입신청 시 수집한 고객정보를 제휴업체에게 제공할 때 신용카드 유효기간 등의 고객정보를 함께 제공한 사실이 적발됐다.

또한 금융회사는 암호화한 경우를 제외하고 DMZ(회사 내부망과 외부망인 인터넷 사이에 설정한 중립구간) 구간 내 고객정보 등을 저장·관리할 수 없지만 BC카드는 DMZ 구간에 있는 홈페이지 웹 서버에 이름, 주민등록번호 등 이용자 정보를 암호화하지 않고 그대로 저장했다.

하나SK카드의 경우 웹 회원 비밀번호를 국가에서 권고하는 보안강도에 미달하는 암호알고리즘을 사용하고 있어 해킹 등에 의해 비밀번호가 노출될 위험성이 높은 것으로 나타났다.

아울러 개인정보가 포함된 데이터를 전체 사용자 공유폴더를 통해 열람할 수 있도록 방치했다.

한편 우리·BC·하나SK카드 측은 “금감원이 검사를 실시한 뒤 바로 고객정보 관리 및 보안과 관련한 모든 지적사안을 시정해 현재 문제될 부분은 없다”는 입장을 밝혔다.

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]