11.42
0.52
올 초 발생한 개인정보 유출 사건 이후 금융당국이 개인정보 특별검사를 실시한 결과 우리카드·비씨카드가 고객 개인정보를 부실하게 관리한 것으로 나타났다. 이에 금융감독원의 제재를 받았다.
11일 금융권에 따르면 금감원은 지난 4일 이같은 사실을 적발하고 비씨카드에 경영유의 2건, 개선사항 3건을 내렸으며 직원에는 2건의 조치의뢰 처리를 했다. 우리카드에는 개선 사항 5건과 조치의뢰 2건의 제재를 내렸다. 또한 하나SK카드에는 경영유의사항 3건, 개선사항 2건과 1건의 직원 조치의뢰가 내려졌다.
금감원에 따르면 우리카드는 지난 2월 3일부터 7일까지 타 카드사와 통신 전문 연계테스트를 실시하는 과정에서 이용자정보 약 5만 건을 변환 없이 사용했다. 또한 이용자 정보 등이 수록된 중요 단말기에 대해서는 사용자의 업무별로 접근권한을 통제해야 함에도 관리를 소홀이 한 것으로 드러났다.
내부시스템인 통합단말기(WINC)에서는 직원들에게 담당업무와 관련 없는 부분에 대해서도 조회, 출력 권한이 부여돼 고객정보 등의 유출 위험이 있는 것으로 나타났다. 내부 서버망 역시 일반사용자의 접근을 완전히 차단하기에는 충분하지 않은 운용방식인 것으로 조사됐다.
이밖에 1048개의 인터넷 방화벽 정책 중 55개는 모든 도착지 주소와 서비스번호(port)에 대해 접속이 허용돼 방화벽 정책 개선이 시급하다는 지적을 받았다.
BC카드의 경우 개인회원 가입신청 과정에서 결혼기념일, 자녀생일, 자동차소유 여부 등 신용카드 이용계약 체결과 관련이 적은 고객정보까지 수집한 것으로 나타났다. 또한 수집한 고객정보를 제휴업체에 제공하는 과정에서 신용카드 유효기간 등의 고객정보를 제공한 사실이 적발됐다.
고객정보에 대한 관리 및 파기업무도 소홀했던 것으로 나타났다. 지난 2013년 11월 29일부터 12월 11일까지 카드사 탈회 후 일정기간이 경과한 탈회회원 개인정보의 원장 분리 및 원장 파기업무를 일괄 처리한 것. 이와 더불어 위탁업체로부터 고객정보 파기결과를 서면으로 징구하지 않거나 위탁부서별로 고객정보 보안 점검 주기 및 절차를 다르게 운영해 앞으로 관련규정에 따라 철저히 이행할 것을 지적받았다.
이용자 비밀번호 노출에 대한 위험도 지적됐다. BC카드는 웹회원 비밀번호를 암호화해 저장하고 있으나 국내외 암호 연구기관에서 권고하는 보안강도에 미달하는 SHA-1 암호알고리즘으로 암호화하고 있어 이용자 비밀번호가 노출될 가능성이 있다는 것.
하나SK카드의 경우 지난 2013년 연간검사계획에 의하면 감사위원회 산하 감사팀에 8명의 감사인이 필요하다고 돼 있음에도 총 5명으로 운영되는 등 당초 계획대로 이행되지 않은 사실이 적발됐다.
이와 더불어 해킹 등에 취약한 윈도우즈 서버 2대(인터넷 포탈 검색, 전자세금계산서)에 대해 최신 보안업데이트, 백신업데이트 등 주요 보정작업을 최소 43일에서 최대 621일간 실시하지 않은 사실이 적발됐다.
개인정보 암호화 보안방법도 미흡했던 것으로 드러났다. 웹회원 비밀번호를 국가에서 권고하는 보안강도에 미달하는 SHA-1 암호알고리즘을 사용해 해킹 등에 의해 비밀번호가 노출 될 가능성이 있는 것. 이밖에 개인정보가 포함된 데이터를 전체 사용자 공유폴더를 통해 열람할 수 있도록 방치한 것으로 드러났다.
이와 관련해 우리·BC카드 관계자는 “해당 사안은 지난 2월에 발생한 일이고 이미 개선 조치가 이뤄진 상황”이라고 밝혔다. 하나SK카드 역시 “현재 조치가 이뤄지는 중이고 조속히 완료될 것”이라고 밝혔다.