강기정 "금감원 검사 결과 이미 예견됐던 사고"
[뉴스핌=김연순 기자] 지난 17일 3개월 영업정지 징계를 받은 KB국민, NH농협, 롯데카드 등 카드 3사가 정보유출 직전 금융감독원 검사에서 개인정보보호 부실을 지적받았던 것으로 드러났다.
18일 국회 정무위 소속 민주당 강기정 의원이 금융감독원으로부터 제출받은 자료에 따르면, 카드 3사는 정보유출 직전 실시한 금감원의 종합검사 및 IT 부문검사에서 외주직원에 의한 고객개인정보 유출 위험성을 지적받았다.
금융감독원은 지난 2012년~2013년 농협은행(NH농협카드), KB국민카드, 롯데카드 등에 종합검사와 IT부문검사를 각각 실시해 개인정보보호와 관련된 항목에서 개인정보보호 강화 및 개선 조치를 각 회사에 전달했다.
지난 2012년 농협은행(NH카드)에 대한 검사에서 금감원은 ▲ 외부메일을 통한 송·수신을 모두 허용해 이메일을 통한 개인정보 유출 우려 ▲ 외부메일에 대한 통제 및 모니터링 강화 필요 ▲ 전자금융거래법제 21조의 2에 규정된 정보보호최고책임자(CISO)의 지정과 역할 부여 등을 요구했다.
이어 2013년 IT 부문검사에서는 ▲ 전반적인 IT운영업무 수탁업체에 대한 통제·관리 소홀로 전산장애 사고 발생 ▲ '乙'의 위치에 있는 농협은행이, '甲'의 위치에 있는 농협중앙회에 IT업무를 위탁하는 비정상적인 구조 ▲ 외주 인력에 대한 관리와 통제 허술 등을 지적했다.
또 2012년 KB국민카드 IT부문검사에선 ▲ 외주용역직원에게 업무수행에 필요한 고객정보 접근권한 보다 과도한 권한 부여 ▲ 직원 PC 또는 단말기 등에 고객정보 저장여부 모니터링 및 사후점검 실시 요구 ▲ 고객정보 검색 및 조치 결과에 대한 정기적 모니터링 및 점검 요구 ▲ 콜센터용 고객정보조회 시스템을 통한 고객정보 유출 예방 및 부당조회 여부를 관리 철저 ▲ 고객정보조회 시스템 개선 및 모니터링 체계 개선 요구 등을 제시했다.
아울러 2013년 롯데카드 종합검사에서도 금감원은 지난 2009년 9월~2013년 6월 기간 중 전체 전산 관련 구매금액 2084억 원 중 롯데정보통신과의 거래가 96%인 1994억원이나 됐던 점을 지적하면서, 롯데카드가 전산 상품·용역 구매 시 수년간 그룹 계열사인 롯데정보통신과 수의계약을 체결한 것과 관련해 경쟁 입찰로 개선을 요구했다. 또 내규상 IT 정기감사를 매년 실시하도록 규정하고 있음에도 불구하고 2010년과 2011년에 정기감사 미 실시 등을 지적했다.
강기정 의원은 "이번 카드사 개인정보 유출은 금감원 검사 결과 이미 예견됐던 사고였다"면서 "금융당국의 부실대책 솜방망이 처벌이 반복되지 않도록 보다 철저한 원인규명과 재발방지 대책이 나와야 한다"고 주장했다.
[뉴스핌 Newspim] 김연순 기자 (y2kid@newspim.com)