금융당국의 검사, 검찰수사, 고객들의 정보 확인 등으로 금융사에서 유출된 고객정보의 윤곽이 드러나고 있다. KB국민카드·NH농협·롯데카드 3사외에 16개 금융사에서 고객정보도 100만건 이상 유출됐다. 그러나 감독당국은 사상초유의 금융정보 유출을 확인하면서도 보이스피싱, 스미싱 등 간접적인 피해 외에 카드 불법복제 등 직접적 2차 피해 가능성은 '매우 낮다'고 보고 있다.

카드 3사의 경우 △ 유출된 정보를 수집한 사람들로부터 원본파일과 복사본을 모두 압수했기 때문에 2차 유통이 불가능한 점 △ 또 유출된 정보가 시장에 유통되더라도 신용카드 비밀번호, CVC값, 결제계좌 비밀번호 등 중요정보는 포함돼 있지 않다는 것이 근거다. 카드사외 16개 금융사의 경우도 유출된 것이 단순 인적 정보인데다 비밀번호 등이 포함되지 않아 예금인출, 카드 복제 등 직접적인 피해로 이어질 가능성을 낮게 봤다.

◇ "카드 3사 유출정보 모두 압수..농협카드도 100만건 3단계서 압수"

박세춘 금융감독원 부원장보는 19일 긴급 브리핑을 통해 "롯데카드의 경우 (유출된 정보가) 최초 유출자에게 압수됐고, 농협은 3단계에서 압수됐다"며 "최종 대출모집인 조사를 통해서 금품수수 내역까지 확인한 결과 100만건 이상 유통되지 않았다"고 말했다.이어 그는 "해외사이트의 경우 카드번호와 유효기간만으로 결제가 가능한 경우도 있지만 현재 고객 통보 서비스를 시행 중에 있기 때문에 추후 2차 피해가 발생할 경우 보상을 받을 수 있다"고 말했다.

금감원은 또 정보 유출 시점이 1년 이상 지났지만 아직까지 부정사용이 제보된 것은 없다고 밝혔다.

주말 정보유출 내용을 인터넷에서 확인한 고객들은 2차 피해에 대한 우려와 함께 대책을 요구했다. "카드도 없는데도 금융정보가 유출됐다"는 내용에서 "내카드로 불법대출되거나 결제할까봐 불안하다. 카드를 정지할 수도 없고..","다른 금융사로 옮겨야겠다" ,"엄중히 처벌해야한다"는 등의 댓글이 인터넷에서 올라왔다.

이날 금융감독원 최종구 수석부원장과 박세춘 부원장보는 브리핑을 통해 금융사에서 유출된 정보 내용을 공개했다. 3개 카드사의 경우 USB에 정보가 담긴 고객수는 약 1억580만명이었으며 기업·가맹점, 사망자 등을 제외할 경우 유출건수는 KB카드는 4000여만건, NH농협과 롯데카드는 각각 2000여만건에 이른다.

KB국민카드의 경우 통지대상에 자사 고객 외에 국민은행 고객 등도 다수 포함된 것으로 드러났다. 카드 3사에서 유출된 정보는 성명, 주민등록 번호, 전화번호, 주소 등 식별정보는 물론 결제계좌를 포함한 신용정보가 포함돼 있다. NH농협카드와 롯데카드는 카드번호와 유효기간 정보가 유출됐고 국민카드와 농협카드는 타사 카드정보도 유출됐다. 일부 고객은 연소득, 신용한도금액, 신용등급, 이용실적 정보도 유출됐다.

◇ "씨티·SC은행서 유출된 것도 유통없어..14개 비카드 금융사 유출여부도 불분명"

또 이 3개 카드사를 제외하고도 16개 금융사에서 127만건 개인정보가 동시에 유출된 것으로 추정됐다. 은행 24만명, 저축은행 2000명, 여신전문금융사 11만명 등이다. 유출된 정보는 성명, 전화번호, 직장명 등 단순정보이며, 예금계좌번호, 비밀번호 등 금융거래 관련 민감정보는 포함되지 않은 것으로 파악됐다. 국민은행 고객정보도 예금, 대출 등 거래정보가 아닌 결제계좌 보유정보인 것으로 확인됐다.

감독당국은 16개 금융사와 관련 "USB에 담긴 정보가 대출마케팅을 위한 것으로 비밀번호 등이 포함되지 않아 예금인출, 카드 복제 등 직접피해로 이어질 가능성은 낮다"고 밝혔다. 다만 "2차 유포가 확인되더라도 휴대폰 정보를 이용한 대부업체 및 대출 모집인 스팸 광고 발송, 보이스 피싱에 악용될 가능성은 배제할 수 없다"보고 소비자의 주의를 당부했다. 금융회사와 이름이 같이 유출돼 'OO금융사 ***고객님'식으로 현혹시킬 수 있다는 판단이다.
최 수석부원장 및 박 부원장보는 "16개 금융회사중 정보유출이 확인된 것은 SC·씨티은행인데 대출모집인이 가지고 있던 USB상태로 압수가 됐다"며 "여러 경로 통해 수집한 정보를 가지고 있었지만 유통은 없었다"고 밝혔다. 나머지 14개사는 정보유출여부가 확인중이지만 "USB에 들어있는 고객정보중 고객DB에 있는 것이 55%에 불과해 USB에 수록된 정보가 모두 은행에서 유출됐는지도 불분명"하다는 게 당국의 설명이다.
◇ "고객 불안심리 이용한 스미싱, 보이스 피싱 활개우려..금전피해시 해당 카드사 보상"

감독당국에 따르면 일단 정보가 다운로드, 복사, 사진촬영 등으로 금융사 밖으로 나가면 '유출'로 취급된다. 그러나 유출되었다고 해도 제3자에게 '유통'되지 않았다면 2차 피해는 크게 우려하지 않아도 된다는 게 감독당국 판단이다.

3개 카드사와 관련 직접적 금전적 피해 가능성은 "없다"고 단언했다. 금융당국은 정보를 빼낸 KCB직원과 그로부터 정보를 구입한 대출광고업자 및 대출모집인 등 관련자에서 원본 및 복사파일을 한꺼번에 압수했다고 재확인했다. 또 만약에라도 유출된 정보가 시장에 유통되더라도 신용카드 비밀번호, CVC값, 결제계좌 비밀번호 등 중요정보는 빠져 카드 위변조, 현금 불법인출 등 고객 피해가능성은 "없는 것으로 판단"했다.

감독당국에 따르면 신용카드 위변조를 위해서는 중요정보인 카드번호·유효기간·CVC값이 '동시에' 있어야한다. CVC값은 카드 뒷면 카드번호 마지막 4자리 숫자 뒤에 있는 3자리수다. 카드를 습득하지 않는한 불가능하다는 것이다.

다만 고객에 정보유출 통지과정에서 전화나 문자메시지로 소비자를 현혹해 소액결제나 정보를 빼가는 스미싱, 보이스피싱 등 간접적 2차 피해는 우려했다. 이에 따라 당국은 각사 공지한 전화번호 이외의 전화나 문자메시지를 받을 경우 '각별한 주의'를 당부했다.

감독당국은 정보유출로 고객에게 금전적 피해가 발생할 경우 해당 카드사가 보상토록 원칙을 세웠다. KB금융지주도 임영록 회장 주재하에 긴급대책회의를 갖고 이같은 방침을 정했다.

감독당국은 이와 함께 고객불편을 줄이기 위해 3개 카드사에 대해 일반 콜센터도 24시간 가동토록 조치했다. 아울러 본인이 희망하는 경우 신용카드를 즉시 재발급토록 했다.


tigerkang@news1.kr