<<일문일답 내용 추가>>
최종구 금융감독원 수석부원장은 20일 KB국민카드, 롯데카드, 농협카드의 고객정보 유출 관련 브리핑에서 "1억400만건의 고객 정보가 유출돼 감독 당국으로서 무한한 책임감을 느낀다"고 말했다.
다음은 금감원의 최 부원장, 박세춘 부원장보, 류찬우 여신전문검사실장, 정인화 개인정보보호단 실장과의 일문일답.
--신제윤 금융위원장, 최수현 금융감독원장 등의 정보도 유출된 게 사실이냐.
▲(박세춘 부원장보) 저희가 직접 확인할 수는 없지만 워낙 많은 고객정보가 유출됐기에 분명히 포함됐을 수도 있을 것이라는 생각을 갖고 있다.
--피해 규모는.
▲(박세춘 부원장보) 1억400만건이 유출됐고 롯데카드 2천만건, NH농협카드 2천만건, KB국민카드는 4천만건이다.
--개인정보를 입력할 때 기입하지 않은 주거상황, 연소득 등 정보도 유출됐다.
본인 의사와 관계없이 개인정보를 인위적으로 수집한 것인가.
▲(박세춘 부원장보) 만약 신고되지 않은 정보를 불법 수집해 관리하고 있다면그것 또한 범죄행위다. 있을 수 없는 행위다. 검사 과정에서 살펴보겠다.
--시민의 불안이 크다. 해소 방안은.
▲(박세춘 부원장보) 예금·대출 등 구체적인 거래정보가 아닌 개인정보만 유출된 것으로 파악된다. 정보유출에 따른 피해가 발생하지 않도록 대책을 세우고 있다.
--개인정보가 유출된 고객은 카드를 바꿔야 하나.
▲(정인화 개인정보보호단 실장) CVC(카드 뒷면의 유효성 코드), 비밀번호는 따로 보관돼 암호화돼 있어 위·변조 위험은 없다고 본다. 그래도 고객이 불안하면 카드사에서 재발급 받도록 하고 비밀번호를 변경하면 된다. 3개 카드사에서 무료로 실시간 카드사용내역을 문자메시지로 보내주기 때문에, 본인이 사용치 않은 거래가 나오면 바로 신고해 분쟁절차를 거쳐 그 금액을 보상하게 돼 있다.
--국민은행 계좌가 없는데도 정보가 유출됐다. 이유는.
▲(박세춘 부원장보) KB국민카드사가 국민은행 계열사 정보를 보관하고 있던 것이 이번에 함께 유출된 것이다. 개인들에게 통보 절차를 진행 중이다.
--타행 정보도 유출됐다는데.
▲(박세춘 부원장보) 해당 카드의 신용카드 결제계좌도 유출됐기 때문이다.
--KB국민카드의 경우 왜 타사 카드의 사용금액까지 함께 유출된 것인가.
▲(류찬우 여신전문검사실장) 카드사끼리 은행연합회, 여신금융협회, 타사 등을통해 정보를 공유한 것으로 예상된다. 신용도 조사나 대출한도 산정에 활용하기 위한 목적으로 알고 있다.
--예전에 카드를 해지했는데도 정보가 유출됐다. 해지한 고객 정보를 보관하는것 자체가 문제 아니냐.
▲(박세춘 부원장보) 이번에 유출된 정보에는 해지고객이나 휴면계좌, 법인고객도 일부 포함됐다.
▲(류찬우 여신전문검사실장) 카드사의 경우 해지고객에 대해 5년간 관련 정보를 보유할 수 있고, 5년이 지나면 폐기하게 돼 있다. 이번 검사에서 혹시 5년이 지난 고객정보도 계속 보유한 것으로 나타나면 제재할 예정이다.
--5년간 보관할 수 있도록 법에 정해져 있나.
▲(정인화 개인정보보호단 실장) '개인정보보호법'에 필요한 기간 이내에 각 카드사의 내규로 정해 운영하게 돼 있다. (5년이 지나면) 반드시 삭제해야 다.
--카드번호와 유효기간이 유출된 사례가 과거에도 있나.
▲(박세춘 부원장보) 대량으로 유출된 건 이번이 처음이다.
--카드번호, 유효기간이 공개됐을 때 가능한 2차 피해는 무엇인가.
▲(박세춘 부원장보) 카드번호와 유효기간만으로 '비대면 거래'가 가능하다. 홈쇼핑, 방문판매, 보험판매 등 전화승인 거래가 일부 있을 수 있다. 대부분 휴대전화SMS 인증을 받거나 패스워드를 요구하기 때문에 부정사용은 대부분 차단된다. 카드사와 협의해 후속조치를 마련하고 있다.
--부정사용 발생시 보상되는가.
▲(박세춘 부원장보) 다 보상된다.
--스팸문자, 보이스피싱 전화로 발생하는 정신적 피해와 카드 재발급에 걸리는시간 등 유무형의 피해에 대해 카드사에 금전적 손해배상을 청구할 수 있나.
▲(박세춘 부원장보) 직접피해는 당연히 보상되지만, 정신적 피해 등은 과거 유사 판례나 인과관계를 종합 판단해서 합리적으로 정해야 할 것 같다.
--카드번호와 유효기간이 유출된 고객에 대해서는 카드사가 의무적으로 카드를재발급해줘야 하는 것 아니냐.
▲소수 비대면거래의 개연성만 갖고 무조건 다 재발급해주는 것은 현실성 면에서 생각해볼 필요가 있다.
--해외사이트는 공인인증서 요구 없고, CVC 번호 없이도 거래가 가능한데.
▲해외사이트는 유효기간과 카드번호만으로 거래 승인이 이뤄지는 경우가 많다.
그러나 승인 시점에선 문자메시지로 통보돼 부정사용 발생 시 고객이 인지할 수 있다. 또 정보유출 시점에서 1년 이상이 지난 상황이다. 정보유출에 의한 부정사용이있었다면 해당 거래가 의미 있게 증가했어야 하는데 지금까지 그런 부문이 없다.
--앞으로 3개 카드사 고객이 보이스피싱 피해를 본다면 그 피해가 이번 정보유출에 따른 것인지 입증할 책임이 누구에게 있나.
▲(박세춘 부원장보) 이번 카드사 정보유출에 따른 피해는 보상한다는 게 대전제다. 보이스피싱 피해가 발생하면 무조건 피해보상을 해주는 것은 아니고 이번 정보유출에 의해 입수된 정보인지, 과거에 유출된 정보인지 개별 사안별로 판단할 것이다.
--지난 금요일부터 카드사들이 정보유출 본인확인절차를 했다. KB국민카드는 단순하게 홈페이지에 이름과 생년월일을 입력하면 결과가 나오도록 했다. 본인확인 절차를 하면서조차 개인정보 보호에 신경을 안 썼다.
▲(박세춘 부원장보) 개인정보보호법에 따른 서면, 이메일 등 통보절차를 거치기에 시간이 오래 걸려 일단 카드사 홈페이지에 빨리 본인조회시스템을 구축하겠다는 취지였다. 빨리 시스템을 오픈한다는 생각만 하고 본인 인증절차가 미흡했던 게아닌가 한다. 18일 검사반을 보내 사실 관계를 규명하고 있다.
clap@yna.co.kr(끝)<저 작 권 자(c)연 합 뉴 스. 무 단 전 재-재 배 포 금 지.>�
최종구 금융감독원 수석부원장은 20일 KB국민카드, 롯데카드, 농협카드의 고객정보 유출 관련 브리핑에서 "1억400만건의 고객 정보가 유출돼 감독 당국으로서 무한한 책임감을 느낀다"고 말했다.
다음은 금감원의 최 부원장, 박세춘 부원장보, 류찬우 여신전문검사실장, 정인화 개인정보보호단 실장과의 일문일답.
--신제윤 금융위원장, 최수현 금융감독원장 등의 정보도 유출된 게 사실이냐.
▲(박세춘 부원장보) 저희가 직접 확인할 수는 없지만 워낙 많은 고객정보가 유출됐기에 분명히 포함됐을 수도 있을 것이라는 생각을 갖고 있다.
--피해 규모는.
▲(박세춘 부원장보) 1억400만건이 유출됐고 롯데카드 2천만건, NH농협카드 2천만건, KB국민카드는 4천만건이다.
--개인정보를 입력할 때 기입하지 않은 주거상황, 연소득 등 정보도 유출됐다.
본인 의사와 관계없이 개인정보를 인위적으로 수집한 것인가.
▲(박세춘 부원장보) 만약 신고되지 않은 정보를 불법 수집해 관리하고 있다면그것 또한 범죄행위다. 있을 수 없는 행위다. 검사 과정에서 살펴보겠다.
--시민의 불안이 크다. 해소 방안은.
▲(박세춘 부원장보) 예금·대출 등 구체적인 거래정보가 아닌 개인정보만 유출된 것으로 파악된다. 정보유출에 따른 피해가 발생하지 않도록 대책을 세우고 있다.
--개인정보가 유출된 고객은 카드를 바꿔야 하나.
▲(정인화 개인정보보호단 실장) CVC(카드 뒷면의 유효성 코드), 비밀번호는 따로 보관돼 암호화돼 있어 위·변조 위험은 없다고 본다. 그래도 고객이 불안하면 카드사에서 재발급 받도록 하고 비밀번호를 변경하면 된다. 3개 카드사에서 무료로 실시간 카드사용내역을 문자메시지로 보내주기 때문에, 본인이 사용치 않은 거래가 나오면 바로 신고해 분쟁절차를 거쳐 그 금액을 보상하게 돼 있다.
--국민은행 계좌가 없는데도 정보가 유출됐다. 이유는.
▲(박세춘 부원장보) KB국민카드사가 국민은행 계열사 정보를 보관하고 있던 것이 이번에 함께 유출된 것이다. 개인들에게 통보 절차를 진행 중이다.
--타행 정보도 유출됐다는데.
▲(박세춘 부원장보) 해당 카드의 신용카드 결제계좌도 유출됐기 때문이다.
--KB국민카드의 경우 왜 타사 카드의 사용금액까지 함께 유출된 것인가.
▲(류찬우 여신전문검사실장) 카드사끼리 은행연합회, 여신금융협회, 타사 등을통해 정보를 공유한 것으로 예상된다. 신용도 조사나 대출한도 산정에 활용하기 위한 목적으로 알고 있다.
--예전에 카드를 해지했는데도 정보가 유출됐다. 해지한 고객 정보를 보관하는것 자체가 문제 아니냐.
▲(박세춘 부원장보) 이번에 유출된 정보에는 해지고객이나 휴면계좌, 법인고객도 일부 포함됐다.
▲(류찬우 여신전문검사실장) 카드사의 경우 해지고객에 대해 5년간 관련 정보를 보유할 수 있고, 5년이 지나면 폐기하게 돼 있다. 이번 검사에서 혹시 5년이 지난 고객정보도 계속 보유한 것으로 나타나면 제재할 예정이다.
--5년간 보관할 수 있도록 법에 정해져 있나.
▲(정인화 개인정보보호단 실장) '개인정보보호법'에 필요한 기간 이내에 각 카드사의 내규로 정해 운영하게 돼 있다. (5년이 지나면) 반드시 삭제해야 다.
--카드번호와 유효기간이 유출된 사례가 과거에도 있나.
▲(박세춘 부원장보) 대량으로 유출된 건 이번이 처음이다.
--카드번호, 유효기간이 공개됐을 때 가능한 2차 피해는 무엇인가.
▲(박세춘 부원장보) 카드번호와 유효기간만으로 '비대면 거래'가 가능하다. 홈쇼핑, 방문판매, 보험판매 등 전화승인 거래가 일부 있을 수 있다. 대부분 휴대전화SMS 인증을 받거나 패스워드를 요구하기 때문에 부정사용은 대부분 차단된다. 카드사와 협의해 후속조치를 마련하고 있다.
--부정사용 발생시 보상되는가.
▲(박세춘 부원장보) 다 보상된다.
--스팸문자, 보이스피싱 전화로 발생하는 정신적 피해와 카드 재발급에 걸리는시간 등 유무형의 피해에 대해 카드사에 금전적 손해배상을 청구할 수 있나.
▲(박세춘 부원장보) 직접피해는 당연히 보상되지만, 정신적 피해 등은 과거 유사 판례나 인과관계를 종합 판단해서 합리적으로 정해야 할 것 같다.
--카드번호와 유효기간이 유출된 고객에 대해서는 카드사가 의무적으로 카드를재발급해줘야 하는 것 아니냐.
▲소수 비대면거래의 개연성만 갖고 무조건 다 재발급해주는 것은 현실성 면에서 생각해볼 필요가 있다.
--해외사이트는 공인인증서 요구 없고, CVC 번호 없이도 거래가 가능한데.
▲해외사이트는 유효기간과 카드번호만으로 거래 승인이 이뤄지는 경우가 많다.
그러나 승인 시점에선 문자메시지로 통보돼 부정사용 발생 시 고객이 인지할 수 있다. 또 정보유출 시점에서 1년 이상이 지난 상황이다. 정보유출에 의한 부정사용이있었다면 해당 거래가 의미 있게 증가했어야 하는데 지금까지 그런 부문이 없다.
--앞으로 3개 카드사 고객이 보이스피싱 피해를 본다면 그 피해가 이번 정보유출에 따른 것인지 입증할 책임이 누구에게 있나.
▲(박세춘 부원장보) 이번 카드사 정보유출에 따른 피해는 보상한다는 게 대전제다. 보이스피싱 피해가 발생하면 무조건 피해보상을 해주는 것은 아니고 이번 정보유출에 의해 입수된 정보인지, 과거에 유출된 정보인지 개별 사안별로 판단할 것이다.
--지난 금요일부터 카드사들이 정보유출 본인확인절차를 했다. KB국민카드는 단순하게 홈페이지에 이름과 생년월일을 입력하면 결과가 나오도록 했다. 본인확인 절차를 하면서조차 개인정보 보호에 신경을 안 썼다.
▲(박세춘 부원장보) 개인정보보호법에 따른 서면, 이메일 등 통보절차를 거치기에 시간이 오래 걸려 일단 카드사 홈페이지에 빨리 본인조회시스템을 구축하겠다는 취지였다. 빨리 시스템을 오픈한다는 생각만 하고 본인 인증절차가 미흡했던 게아닌가 한다. 18일 검사반을 보내 사실 관계를 규명하고 있다.
clap@yna.co.kr(끝)<저 작 권 자(c)연 합 뉴 스. 무 단 전 재-재 배 포 금 지.>�
관련뉴스
