신용을 담보로 돈을 빌려주는 카드사 입장에서는 개인정보 수집은 어쩔 수 없는 일이다. 하지만 그만큼 고객이 맡긴 정보를 잘 관리하는 것은 카드사의 책임이자 의무다. 고객의 정보는 잘 사용하면 약이 되지만 관리에 조금이라도 소홀하면 회사의 신용도가 흔들릴 만큼 심각한 문제로 커질 수 있기 때문이다. 그런데 최근 카드사들이 잇단 고객정보 유출 사건으로 얼굴을 제대로 들지 못하고 있다.

카드사는 예전처럼 모든 고객에게 동일한 마케팅을 적용하지 않고 있다. CRM(고객관계관리)마케팅으로 고객이 필요로 하는 상품을 내놓기 위해 보다 정밀한 고객 데이터를 수집한다. 성별, 나이, 직업 등 고객의 성향을 세밀하게 분석해 마케팅에 활용하는 것이다.

 

고객의 정보가 이렇게 다각도로 사용되다 보니 이를 노리는 범죄도 기승을 부린다. 특히 최근 벌어진 삼성카드와 하나SK카드의 개인정보 유출 사건은 고객 정보를 거래해 수익을 올리려는 내부 직원의 소행으로 드러나 충격을 안겼다.

 

카드사들은 일련의 사건들을 타산지석 삼아 보안의 강도를 높이고 있다. 하지만 경영 효율을 위한 외부인력 관리 소홀은 여전히 문제로 지적되고 있다. 


 

◇ 카드사, 보안벽 높이며 내부 감시 강화 중 

'사후약방문'이지만 카드사들은 정보유출 사건을 계기로 기존의 정보보안 대책을 한층 강화하며 벽 쌓기를 강구 중이다. IT 강화를 위한 관리비용을 늘리고, 내부 직원의 직급별·직종별로 정보 접근을 제한하는 등의 조치 마련에 나서고 있다.

 

우선 IT전산망의 해킹을 방지하기 위한 투자에 나서고 있다. 해킹 시도가 날로 첨단을 걷고 있고, 그에 따른 피해도 커지고 있는 만큼 IT인력을 확충하는 등 관리비용을 늘리고 있는 것. 특히 4월 초 초유의 해킹 사고를 입은 현대카드·캐피탈은 이를 교훈 삼아 IT·보안 예산을 연 150억원으로 확대하기로 했다. 종전의 7~8%였던 보안 예산 비중을 15%로 늘린 것이다.


내부 직원이 고객정보를 빼돌린 삼성카드는 우선 자체 보안을 강화했다. 고객정보가 담긴 출력물은 부서장이나 팀장의 결제가 있어야 출력할 수 있도록 했다. 일반 프린터도 사원증을 접촉시켜야만 출력할 수 있도록 조치, 사고 시 출처를 쉽게 파악할 수 있도록 했다.

  

다른 카드사들 역시 앞선 사고를 타산지석 삼아 보안강도를 높이고 있다. 대부분 카드사들은 시스템에 접근하는 직원에게 일회용 비밀번호(OTP)를 부여해 여타 직원들이 쉽게 시스템에 접근하는 것을 원천적으로 차단하고 있다. OTP도 접근 권한이 있는 직원에게만 부여하는 등 인증절차를 강화했다. 또 DB접근통제 시스템으로 권한 이외의 사용을 엄격히 통제하고 있다. 아울러 사무용 PC에 있는 내용을 외부장치에 저장하지 못하도록 하는 것은 기본이다. 시스템적으로 사무용 PC에 고객정보가 있는지 여부를 항상 자동 검색한 후 해당 부서장에게 통지하고 있다.

 

이밖에 개별 직원의 범죄를 막기 위해 전화번호, 주민번호 등 주요 정보는 마스킹 처리해 필요시에만 열람할 수 있도록 했다. 이러한 개인 정보에 접근하기 위해서는 사전에 정보보안실에 보안성 검토를 받아야 하며 정보 접근시 해당 내역이 감사부로 자동으로 통지하고 있다.

 

◇ IT시스템 하청도 화근  


여타 산업도 마찬가지지만 특히 금융산업에서 IT는 날로 중요해지고 있지만 경영진들은 그 중요성을 간과하고 있는 것도 문제로 지적되고 있다. 은행, 카드사 등 금융사에서는 경영의 효율화를 위해 전산망 관리를 외부 업체에 하청을 주는 일이 늘고 있다.


한 카드사 관계자는 "금융당국이 뒤늦게 카드사를 검사하고 있는데 정작 문제는 IT시스템의 관리까지 하청업체에 맡기는 풍토에 있다"며 "카드사에게 자정을 당부하는 것은 실효성이 없다. 감독당국이 나서 하청 관리를 철저히 하는지를 들여다 봐야 할 것"이라고 말했다.


이 관계자는 "외부 하청업체는 내부 직원들처럼 고객 정보를 중요하게 관리하지 않는 것은 불 보듯 뻔한 일"이라고 덧붙였다.

 

전업계 카드사들은 최근 거액을 들여 차세대 전산시스템을 도입해 업무 효율화를 꾀하고 있다. 하지만 이렇게 시스템을 구축한 후 외부 하청업체에 관리까지 맡겨버리는 경우도 있어 사고를 부추길 수 있다는 것이 업계 종사자들의 지적이다.

또 다른 카드사 관계자는 "카드사들이 차세대 전산시스템 구축에 나서고 있지만, 역시 각 사가 철저하게 통제하겠다는 의지가 없으면 또 다른 유출사고가 벌어질 수 있다"고 경고했다.


◇카드모집인, 정보유출 통로 될 수도 

 

카드모집인은 기하급수적으로 늘고 있지만 이를 관리하고 단속할 인원은 극히 부족한 것도 정보유출을 일으킬 수 있는 문제 중 하나다. 금융감독원에 따르면 지난달 말 현재 국내 신용카드사에 등록된 카드모집인 수는 총 5만1249명으로 지난해 3월(3만7608명) 이후 무려 73%가 증가했다.


반면 이를 관리하는 통제인원은 전체 모집인 대비 0.45%에 불과한 229명뿐인 것으로 드러났다. 특히 전업계 카드사의 경우 모집인 수 대비 내부 통제인원 비율은 0.35%로 은행계 카드사(1.82%)에 크게 못 미쳤다.


이렇게 카드 모집인의 경쟁은 치열하면서 관리는 소홀해 편법 영업도 기승을 부리고 있다. 이른바 DB영업이라는 것. 카드사로부터 유출된 고객정보를 모집인들 사이에 거래하기도 한다. 



한 카드사 관계자는 "같은 업종에 사용되지 않은 고객 정보는 상당한 가치를 지닌다"며 "건당 10원, 100원 대가 아니라 몇 천원 단위로 액수가 클 것으로 보고 있다"고 말했다. 정보를 가진 직원으로서는 그만큼 정보 거래에 대한 유혹이 있는 셈이다. 이번에 적발된 하나SK카드 직원은 경찰 조사에서 9만7000여건을 유출했다고 밝힌 바 있다. 1건당 1000원으로 잡아도 약 9700만원에 달한다. 


더 큰 문제는 카드 모집인에게만 넘기는 것이 아니라 다른 업종으로 돌고 도는 데 있다. 카드에서 정보를 받으면 은행, 보험, 자동차 등으로 돌려지는 것이다. 이들 역시 최초 정보이기 때문에 같은 금액에 팔리게 된다. 최초에 팔리는 금액의 몇배 수입을 올릴 수 있다는 것이다. 


이 관계자는 "고객 DB로 이미 영업을 마쳤기 때문에 같은 업종에 한 번 사용된 정보는 가치가 확 떨어진다"고 덧붙였다.  


조남희 금융소비자 연맹 사무총장은 "카드영업경쟁이 격화돼 고객의 정보관리가 뒷전임이 드러났다"며 "내부적 전산사고가 빈번하고 전산 파트 허술한 것은 다른 금융보다 카드사가 심각하다"고 지적했다.

 


조남희 금융소비자연맹 사무총장은 "일련의 고개정보 유출 사건을 보면 카드사간 영업경쟁이 격화돼 고객의 정보관리가 뒷전임이 드러났다"며 "내부적 전산사고가 빈번하고 전산 파트 허술한 것은 다른 금융회사보다 카드사가 더 심각하다"고 지적했다.

 

카드업계 한 관계자는 "정보유출 사고 등으로 인해 떨어진 신뢰도 회복을 위해 노력하고 있다"며 "다시는 이러한 사고가 발생하지 않도록 모든 루트에 철저한 방어망을 만들겠다"고 말했다.