[뉴스핌 김연순, 노희준 기자] 18일 국회 정무위원회 '개인정보 대량유출 관련 실태조사 및 재발방지를 위한 국정조사' 청문회에서는 이번 사태에 대한 정부 대응과 KB금융 등 해당 금융지주 회장의 책임회피를 질타했다.

현오석 경제부총리 겸 기획재정부 장관의 고객정보 유출에 대한 부적절한 발언에 대한 질타가 이어졌고, 정보유출 경위를 제대로 파악하지 못한 금융당국의 부실검사도 '도마' 위에 올랐다.

3개 카드사에서 개인정보를 빼낸 코리아크레딧뷰로(KCB) 전 직원 박모씨와 이 정보를 넘겨 받은 광고대행업체 대표 조모씨는 이날 청문회에 증인으로 참석해 개인정보 103만건 외 추가 유출은 없다고 밝혔지만 참고인으로 참석한 IT 전문가들은 '2차 유출' 가능성을 우려했다. 

◆ '현오석·신제윤·최수현·임영록' 질타 

이날 국회 국정조사 청문회에서는 현 부총리를 비롯해 정부 당국 수장들과 금융사 지주 회장들의 책임론이 집중적으로 부각됐다.

김기식 민주당 의원은 청문회 시작 전 의사진행 발언을 통해 "현 부총리가 '어리석은 사람은 무슨 일이 있으면 책임을 따진다'고 말해 국민의 심려를 끼쳤다"며 사과를 요구했다. 

현 부총리는 "제 자신의 신중치 못한 발언으로 국민들의 마음에 상처 드린 데 대해 지금도 송구스럽게 생각한다"며 자신의 실언에 대해 재차 사과했다.

현 부총리는 "공직자는 무엇을 말하느냐보다 어떻게 들릴지를 잘 가려서 듣는 분 입장에서 생각하고 말해야 한다는 점을 절감했다"면서 "제 취지는 수습 먼저하자는 것을 강조하려는 것이었는데 잘못 표현됐다"고 해명했다.

또한 이번 카드사태와 관련해 금융당국이 관리·감독에 뒷짐만 지고 있던 것 아니냐는 질타도 이어졌다.

새누리당 박민식 의원은 이번 사고가 발생한 책임이 정보관리를 부실하게 한 카드사에 있는지 관리를 못한 감독당국에 있는 것인지를 집중 추궁했다.

같은 당 김용태 의원도 "금융당국은 카드사 유출 정보가 유통되지 않았다고 하는데 이미 암시장에서 거래되는 정보가 있다는 것을 금융당국만 모르고 있었다"고 지적했다.

이에 최 원장은 "금융회사마다 내부통제 규정이 있는데 이를 어긴 것은 분명 불법"이라며 "감독당국도 금융회사의 내부통제 규정을 점검해 왔는데 다소 소홀한 부분이 있었다"고 대답했다.

김기식 민주당 의원은 "임영록 KB금융지주 회장은 작년 6월에 정보유출 사고가 날 당시 고객정보관리인이었다"면서 "KB국민카드의 고객정보 유출 사태는 임 회장이 직접적인 법적 책임 대상"이라고 주장했다.

신 위원장은 임 회장에 대한 징계 가능성에 대해 "지주사의 고객정보관리인도 법에 어긋나는 행동을 하면 책임을 져야 한다"면서 "임 회장의 책임은 예단할 수 없지만, 금융감독원의 검사 결과에 따라서 필요하면 징계하겠다"고 말했다.

한편 임 회장은 "고객정보관리인으로 있었던 것은 맞다"면서도 "계열사간의 정보를 공유하는 것에 대한 관리"라고 해명했다.

◆ 보안프로그램 해제 놓고 금융당국 부실검사 '도마'

동시에 정보유출 경위를 제대로 파악하지 못한 금융당국의 부실검사도 '도마' 위에 올랐다. 농협카드의 보안프로그램 해제 과정에서 KCB 전 직원 박모씨와 농협카드의 입장이 엇갈린 데 대해 금융감독원이 사실관계도 파악하지 못한 것에 대한 질책이다.  

박모씨는 고객 개인정보를 빼내는 과정에서 농협카드 보안프로그램을 본인이 풀었냐는 질의에 "직접 풀지 않았다"고 답했고, 농협카드는 "보안프로그램을 해제해주지 않았다"고 주장했다. 이에 금융감독원은 "검사 중에 있다"는 입장만 되풀이했다.

김 의원은 "농협카드가 보안프로그램을 해제했는지 아니면 박씨가 불법적으로 풀었는지는 카드사에 대한 징계 범위와 수위를 결정하는 데 핵심적인 사안"이라면서 "한달이 넘게 내부직원에 의해 보안프로그램이 해지됐는지, 외부에 의해 해지됐는지도 모르고 있다"고 질타했다.

김 의원은 이어 "금감원이 지금까지 부실검사를 하고 있다는 것을 오늘 확인했다"면서 "만약 농협카드 측이 이 보안프로그램을 풀어줬다면 내부직원이 공모했는지 등의 여부도 조사돼야 할 것"이라고 지적했다.

답답한 김정훈 정무위원장이 나서 "보안프로그램 해제와 관련해 전문가가 확인할 수 있는 사항 아닌가"라고 질문했지만 김영배 농협 CISO는 "기술적으로 확인할 수 없다"고 답했다.

◆ 조모씨 "추가 유출 없다" vs. IT전문가 "2차 유출 우려" 

3개 카드사에서 개인정보를 빼낸 박씨는 3개 카드사에서 빼낸 1억500만건의 정보를 매월 200만원씩 받기로 하고 조씨에 넘겼다고 진술했다. 정보를 넘겨 받은 조씨는 이 중 103만건의 개인정보를 대출업자인 이모씨에게 2300만원을 받고 넘겼다고 밝혔다.

이와 함께 조씨는 개인정보 103만건 외 추가 유출은 없다고 밝혔지만 참고인으로 참석한 IT 전문가들은 '2차 유출' 가능성을 우려했다.

문송천 카이스트 경영대 교수는 "2차 유출 없다는 말에 안심할 사람은 없다"며 "원점으로 돌아가 주민번호 문제를 짚어봐야 국민이 안심할 것"이라고 주장했다.

임종인 고려대 정보보호대학원 교수는 "협상을 100% 대포폰과 대포통장으로 하기 때문에 검찰에서 통장을 조사해서는 절대 안 나온다. 전달방법도 외국 클라우드에 (정보를) 저장해놓고 돈 받고 접속번호만 가르쳐주면 증거를 안 남기고 충분히 전달할 수 있다"며 "2차 유출이 없다는 건 보안전문가로서 말이 안 된다고 생각한다"고 말했다.

임 교수는 "만일을 대비해 암호화가 반드시 필요하다"면서 "내부통제가 안 된 것은 자체 보안능력이 없기 때문"이라고 강조했다.

이에 대해 신 위원장은 "개인정보 암호화는 거스를 수 없는 당면과제라고 생각한다"며 개인정보 암호화를 순차적으로 적용하겠다는 입장을 밝혔다.

신 위원장은 "그간 금융사업의 효율성과 시너지 효과에 초점을 맞췄던 게 사실"이라며 "다만 암호화를 일시에 시행할 경우 대규모 금융회사는 안정성 우려가 있으므로 5년마다 은행이 시행하는 차세대 전산화시스템 작업 때 본격적으로 암호화를 시행하도록 하겠다"고 말했다.

[뉴스핌 Newspim] 김연순 노희준 기자 (y2kid@newspim.com)