2차 피해 확인 사실상 불가능
[뉴스핌=김연순 기자] 최근 카드사의 대규모 개인정보 유출사건과 관련 2차 피해(유출된 개인정보의 시중 유통에 따른 부정사용을 통한 피해) 가능성과 우려가 꾸준히 제기되고 있다.
금융당국이 "2차 피해 가능성은 전혀 없다"는 단언에도 불구하고 포털사이트 커뮤니티를 중심으로 고객정보 유출과 관련해 2차 피해를 당했다는 주장이 나오고 있다. 또한 KB국민, NH농협, 롯데 등 3개 카드사 민원센터와 금융소비자단체에는 스팸문자와 전화를 받았다는 항의가 급증하고 있는 상황이다.
금융당국은 "카드 위변조에 따른 부정사용, 즉 2차 피해는 불가능하다"는 입장을 거듭 밝히고 있다.
이와 관련, 보안 전문가들과 금융당국 내부에서조차 "이번 대규모 정보유출에 따른 2차 피해 여부를 확인하는 것은 사실상 불가능하다"는 분석을 내놓고 있어 2차피해 여부를 놓고 논란만 확산될 것으로 보인다.
 |
| 고객 개인정보 유출 내역 사례 |
◆ 2차 피해 주장 vs 유출 개인정보 전량 회수
포털사이트의 '카드 3사 소송카페'에는 이번 고객정보 유출에 따른 2차 피해 추정사례가 제기되고 있다.
2차 피해가 의심된다고 주장한 사례자는 "지난 18일 오전 6시경 미국 ABERCROM에서 908.11달러 승인 문자가 전송됐다"고 밝혔다. 이 글 작성자는 "KB국민카드 콜센터에 문의한 결과 미국에서 실물거래를 통한 인증"이라고 설명했으며, KB국민카드 담당자는 `정보유출과는 상관이 없고 단순 위·변조다'라는 말을 들었다"는 글을 게재했다.
앞서 강 모 씨 등 피해자 130명은 지난 20일 서울중앙지법에 소장을 제출하면서 "금융당국의 발표와는 달리 금융정보 유출에 따른 카드위변조, 불법 출금 등 2차 피해가 발생하고 있다"고 주장했다.
 |
| <2차 피해 입었다고 주장한 롯데카드 고객이 받은 부정 사용으로 인한 승인내역> |
금융당국도 "당초 유출됐던 개인정보가 전량 회수돼 시중에 유통되지 않았으므로 (2차)피해 가능성은 전혀 없다"고 확신하고 있다. 금융당국이 유출된 개인정보의 2차 유통이 없다고 판단하는 가장 큰 근거는 검찰의 수사 결과 발표다.
신제윤 금융위원장은 "수사당국이 그동안 수차례 개인정보의 추가유통은 없었다고 밝혔고, 카드정보 유출사고 발생 이후 1년이 지났지만 현재까지 이번 유출사고에 따른 피해가 확인된 경우는 단 한건도 없다"면서 "최근 고객정보 유출로 2차피해와 카드 위변조에 따른 부정사용은 불가능하다"고 단언했다.
최수현 금융감독원장도 전날 국회 정무위원회 긴급현안 보고에서 "현재까지 유출된 정보가 다른 곳으로 흘러가지 않은 것으로 파악하고 있다"면서 2차 피해가 없다는 입장을 분명히 했다. 하지만 고객정보 유출사고 이후 스팸문자가 폭주하고, 보이스피싱 전화를 받았다는 고객들은 늘어나고 있는 상황이다.
◆ 시중 개인정보 유통 vs 이번 유출건과 무관
이런 가운데 개인정보 브로커를 통해 이번 3개 카드사의 개인정보가 공공연하게 유통되고 있다는 주장이 나오고 있다. KB국민·NH농협, 롯데 등 카드 3사의 카드번호·유효기간 등 개인정보가 브로커를 통해 거래가 가능하다는 것이다.
이에 대해 금융당국은 시중에서 유통되는 카드사 고객 정보가 최근 정보유출 사건과는 관련이 없다는 입장이다. 고객정보가 일시 유출됐다가 회수된 3개사의 '카드번호와 유효기간'이 포함된 것과는 달리 KB카드의 경우 카드번호와 유효기간이 당초부터 유출된 적이 없다는 설명이다.
조영제 금감원 부원장은 "시중에서 유통되고 있다는 개인 신용정보는 카드사에서 유출된 정보는 아닐 것으로 추정된다"고 밝혔고, 정찬우 금융위 부위원장은 "시중에서 유통되고 있다는 개인정보가 이번 정보유출과 관련이 없는 것으로 판단되지만 정확한 확인을 위해 금감원이 추가로 관련내용을 확인하고 있다"고 말했다.
◆ 2차 피해 여부 확인 사실상 불가능
전문가들 사이에선 이번 정보 유출로 인한 2차 피해 여부를 확인하는 것은 어렵다는 분석이 지배적이다. 2차 피해 추정자가 이번 정보유출을 통해 입은 피해인지 아니면 과거 유출로 인해 피해인지 구분하기가 사실상 불가능하기 때문이다. 결과적으로 2차 피해 여부를 놓고 법정에서 결론날 수밖에 없다는 분석이다.
김인석 고려대 정보보보대학원 교수는 "범인을 잡아서 어디서 가져왔는지 확인하지 전까지는 (2차피해 여부 확인이)명확하지 않을 것"이라며 "과거 GS칼텍스 정보유출 사태에도 그런 문제가 있었는데 확실히 입증을 못했다"고 밝혔다.
김 교수는 이어 "거래한 단말과 위치, IP 등을 추정해서 2차피해 여부를 결정해야 하는데 그렇다 하더라도 이번 정보유출에 따른 것인지는 명확하지 않을 것"이라며 "결과적으로 법정에서 결론날 수밖에 없지 않겠느냐"고 전했다.
금융당국 내부에서조차 이 같은 주장에 힘을 실어주고 있다. 금융당국의 한 관계자는 "개인정보가 그 이전에도 다른 루트를 통해서 나갔는데 보이스피싱과 스미싱은 작년에도 문제가 됐던 것"이라며 "이번 건이 직접 연관될 수도 있고 아닐 수도 있는데, (최근 2차 피해 주장들이) 이번 카드사 정보유출에 따른 피해인지 여부를 확인하기는 쉽지 않을 것"이라고 덧붙였다.
한편 금융당국 차원에서 2차 피해에 대한 개념을 재정립해야 한다는 지적도 나오고 있다.
전성인 홍익대 교수는 "지금의 2차 피해는 정보가 브로커의 손에 넘어가서 돈을 빼내는 것에 포커스를 맞추고 있는데 정보를 가지고 있지 않은 스팸회사 집단들이 카드 소비자의 일반적 불안심리를 이용해서 장난을 치는 것이 사실상 중요한 2차 피해"라고 주장했다.
전 교수는 이어 "감독당국의 2차 피해 최소화 노력의 강도도 다시 점검돼야 된다"면서 "단순히 정보 자체가 유통되지 않았으니까 문제가 없다는 것은 안이한 생각"이라고 지적했다.
[뉴스핌 Newspim] 김연순 기자 (y2kid@newspim.com)
