[이지경제=최고야 기자] 금융당국이 최근 카드사 3곳의 고객정보 유출 사고와 관련해 2차 피해 발생 우려는 크지 않을 것으로 내다봤다. 

금융감독원은 지난 19일 오후 2시 30분 긴급 브리핑을 갖고 '고객정보 유출 관련 현황 및 대응방안'을 발표했다. 

이날 최종구 금융감독원 수석부원장은 "검찰로부터 수사기록과 유출된 정보파일을 확보하고, 3개 카드사에 현장검사를 착수해 정보유출 경위와 책임소재를 파악 중"이라고 밝혔다.

정보의 유출은 금융회사가 보관중인 고객정보를 내부인 또는 외부인에 의해 USB 등에 다운로드, 복사, 사진촬영 등의 방법으로 금융회사 외부로 반출하는 일체의 행위를 말한다. 

금감원은 검찰로부터 고객정보 불법유출 혐의자들이 갖고있던 금융회사의 USB 1개를 입수해 정밀 분류하고 우선 정보유출 가능성이 있는 16개 금융회사에 대해 자체점검을 실시토록 지난해 12월 27일 요청했다. 이중 유출이 확인돼 검찰에서 관련자를 기소한 씨티은행과 SC은행에 대해 특별검사를 지난 17일 착수했다.

최 수석부원장은 "USB에 수록된 정보는 성명, 전화번호, 직장명 등 단순정보이며, 예금계좌번호, 비밀번호 등 금융거래 관련 민감정보는 포함되지 않은 것으로 파악된다"면서 "현재까지 정보유출이 확인된 금융회사는 씨티은행, SC은행이며, 나머지 14개 금융회사는 현재 대출모집인이 USB에 수록해 보관중인 개인정보가 금융회사로부터 유출되었는지 여부를 확인 중이다"고 말했다. 

이어 "USB에 수록된 정보 중 금융회사의 고객DB에 있는 정보는 절반 수준에 불과해 USB에 수록된 정보가 모두 금융회사로부터 유출됐는지는 불분명하다"고 설명했다. 

금감원에 따르면 16개 금융회사의 경우 불법유출된 것으로 의심되는 개인정보 건수는 127만건이며, 중복을 제외한 고객수는 약 65만명 수준으로 내다봤다. 이중 금융회사의 고객DB에 포함된 고객수는 36만명이다.

불법 유출된 개인정보 중 성명, 전화번호와 직장명 등 기타정보가 함께 유출된 경우가 59만건(60.1%)으로 최다를 차지했다. 이어 전화번호만 유출된 것 32만건(32.7%), 성명과 전화번호가 유출된 경우 6만건(6.2%) 순 이었다. 

고객 유형별로는 개인고객정보가 76.8%(97.6만건), 법인고객정보가 나머지 23.2%(29만건)를 차지했다.

특히 이번 신용카드 3사의 정보유출 사고는 해당 카드사들 뿐만 아니라 계열사 고객의 정보까지 유출된 것으로 확인됐다.

금감원은 이번 유출사고 관련해 USB에 정보가 담긴 고객수는 약 1억 580만명이며, 이중 기업·가맹점, 사망자 등을 제외할 경우 각 사별 약 2,000만건(KB카드의 경우 약 4,000만건)으로 해당 카드사들은 홈페이지를 통해 유출경위, 시기, 항목 등을 개별통지했다고 밝혔다. 

하지만 KB국민카드의 경우 통지대상에 자사 고객 외에 국민은행 등 계열사 고객도 다수 포함돼 있는 것으로 나타났다. 

3개사에서 유출된 정보는 성명, 주민등록번호, 전화번호, 주소 등 '개인식별정보'와 카드번호 및 유효기간(KB 제외), 결제계좌, 타사카드정보(NH 제외) 등 '개인신용정보'다.

최 수석부원장은 "현재 검찰수사가 진행중인 상황으로 2차 유출 여부는 아직 확인되지 않았으며, 이로 인한 피해사례도 현재까지 접수되지 않았다"면서 "USB 수록정보는 주로 대출마케팅을 위한 것으로서 비밀번호 등이 포함되지 않아 예금인출, 카드복제 등 직접적인 피해로 이어질 개연성은 낮을 것으로 보인다"고 언급했다.

하지만 2차 유포 가능성에 관련해서는 "휴대폰 정보를 이용한 대부업체 및 대출모집인의 스팸 광고 발송, 보이스피싱등에 악용될 가능성은 배제할 수 없다"고 덧붙였다.

금감원은 정보유출 고객의 23.2%가 법인고객(약 29만건)으로서 대출마케팅 외에 금융사기에 활용될 소지가 낮아 2차 피해 발생 우려는 크지 않을 것으로 판단했다.

최 수석부원장은 "현재 카드사로부터 정보를 빼낸 KCB 직원과 그로부터 정보를 구입한 대출광고업자 및 대출모집인 등 관련자들로부터 원본파일과 복사파일을 모두 압수했기 때문에 2차 유통에 따른 피해 가능성은 없는 것으로 확인됐다"면서 "만약 유출된 정보가 시장에 유통되더라도 신용카드 비밀번호, CVC값 및 결제계좌 비밀번호 등 중요정보는 포함돼 있지 않기 때문에 카드 위·변조 및 현금 불법인출 등 고객의 피해 가능성은 없는 것으로 판단된다"고 설명했다.

금감원은 고객 정보유출 3개 카드사의 경우 기존의 전용상담창구 외에 일반 콜센터도 24시간 가동체제로 전환토록 조치했다. 

또한 개인정보 유출로 불안해 하는 고객에 대해서는 본인이 희망하는 경우 신용카드를 즉시 재발급하도록 조치하고, 금번 정보유출 사고로 인해 고객의 금전적 피해가 발생할 경우 이를 해당 카드사가 보상토록 했다.

이 외에도 정보유출이 확인된 카드 3사 및 씨티·SC은행은 현장검사를 통해 사실관계 및 책임소재를 명확히 규명하고, 정보유출이 의심되는 14개 금융회사에 대해서는 자체 정밀점검을 실시해 결과에 따라 현장검사 실시할 방침이다. 

또한 고객정보 유출사고에 관련되지 않은 금융회사에 대해서도 금감원이 작성한 항목별 체크리스트를 토대로 자체점검을 실시할 계획이다. 

최 수석부원장은 "금번 사건은 금융사고 차원을 넘어서 근본적으로 고객정보의 불법 유통수요에 의해 발생한 중대한 범죄행위"이라며 "유관기관 및 수사당국과 긴밀한 공조를 통해 불법정보거래를 원천적으로 근절할 수 있는 대책을 지속적으로 강구하겠다"고 약속했다. 

한편, 금감원은 고객정보 유출 사고 관련 보이스피싱, 스미싱 등 2차 피해를 대비하기 위한 금융소비자경보를 발령해 KB국민,롯데,NH농협카드로부터 오는 수신전화 또는 문자메시지에 대해 각별한 주의를 요구했다.