농협카드, 국민카드, 롯데카드.. 카드 3사의 정보유출에 사건에 대한 개요

이번 사건의 개요는 다음과 같다.

- 개인신용평가 전문업체인 KCB의 박 모 차장이 지난 2012년부터 카드사의 카드 도난분실, 위변조 탐지 시스템, 이른바 FDS 개발 프로젝트를 담당하면서 해당 카드사의 고객 정보를 유출한 사건.

- 2012년 10~12월, NH카드에서 약 2,500만 명의 개인정보를 USB에 불법 수집해 2013년 5월 개인정보를 광고대행업체 조 모 대표에게 1,650만 원을 받고 팔았다. 조 모 대표는 이 정보 가운데 100만 건을 다시 대출 모집인 이 모씨에게 2,300만 원을 받고 재판매했다.

- 2013년 6월, 박 모 차장은 KB카드에서 약 5,300만 개의 개인, 법인 카드 정보를 빼돌렸으며 조 모 대표에게로 넘겨졌다.

- 2013년 12월, 박 모 차장이 롯데카드에서 2,600만 명의 개인정보를 수집한 지 10여 일이 지난 상황에 창원지검 특수부에 체포됐다.

유출된 개인정보 범위는 총 19가지로, 자신이 카드를 만들때 기입한 정보인 성명, 이메일, 휴대전화 번호, 직장 전화 번호, 자택 전화 번호, 주민번호, 직장주소, 자택주소, 직장정보, 결혼 여부, 자가용 보유여부, 주거상황, 이용실적금액, 결제계좌, 결제일, 연소득과 함께 신용한도금액, 연체금액, 신용등급, 그리고 NH농협카드과 롯데카드의 경우 카드번호와 사용기한까지 포함한다.

카드 비밀번호와 CVC 번호를 제외한 모든 정보가 유출된 셈이다.

이번 사고에 대해 개인 사용자들이 피해를 최소화할 수 있는 방안은 자신의 신용카드와 계좌에 대해 지속적인 모니터링과 명의도용차단 서비스, 신규카드 발급, 신용카드 한도액을 낮추는 일 등이다.

이번 사건은 결과적으로 고양이에게 어물전을 맡긴 형국이다. 한 마디로 이 사건의 핵심은 고객 정보를 어떻게 관리하느냐의 문제지 수집한 고객 정보가 너무 많아서가 아니라는 점이다. 그래서 이 사고에 대한 금융당국의 정확한 대응책은 해당 카드사에게 문서 관리를 소홀히 한 책임을 묻고, 금융권 전반에 걸친 문서 관리 체계에 대한 검증이다.

또한 1차적으로 개인정보 유출에 대한 카드 고객의 피해 보상과 잠재적 2차 피해 보상에 대한 약속은 당연한 수순이다.

그러나 금융당국은 어물전에 생선이 너무 많은 것이 문제라고 사건을 키우고 있는 상황이다. 또한 피해 고객들에게 개인정보 유출에 대한 피해보상은 거론하지 않은 채, 2차 피해에 대한 보상을 얘기한다. 나아가 이번 사건이 카드사 및 금융권 전체의 과도한 고객 정보 수집을 원인으로 몰아가는 형국이다.

이 사건의 용의자인 박 모 차장은 오래전부터 개인정보 데이터 유출을 시도해왔다.

2012년 5월에도, 당시 프로젝트를 담당했던 삼성카드, 신한카드의 경우 데이터가 암호화되고 복제가 금지된 문서 보안 체계로 인해 정보를 빼내는 데 실패했다는 점을 주목할 수 있다.

결국 이는 사람의 문제도 아니며, 카드 3사의 문서 관리 체계가 허술했다는 점이 이 사건이 발생한 직접적인 원인인 것이다.

1차적인 피해를 입은 개인들도 문제가 심각하지만 앞으로 더 우려되는 것은 기업들이다. 이런 데이터 유출 사고는 현존 보안 체계상 어느 기업에서도 일어날 수 있는 사안이니만큼 철저한 보안 대책이 필요한 시점이다.

출처 : http://www.itworld.co.kr/news/85740

카드사에서는 유출된 개인정보가 유통되기 전에 범인이 검거되어 "유출은 되었지만, 유통되지는 않았다." 라는 말을 하고 있다. (언젠가 들었던 "술은 마셨지만, 음주운전은 하지 않았다." 라는 말이 생각난다.)

위 사건의 개요를 보면 농협카드에서 유출된 2,500만건의 개인정보는 이미 대출광고 업자에게 넘어 갔고, 국민카드의 5,300만건, 롯데카드의 2,500만건의 경우 범인들이 보유하고 있는 상황에서 검거 되었다고 말하고 있지만... 개인적으로는 이미 넘어갔다고 본다.

내 개인정보 유출 정보를 조회한 결과 농협은 카드가 없어서 안털렸지만, 국민, 롯데에서는 털린 것으로 확인이 되었는데...

요 며칠 내 핸드폰으로 대출, 도박광고가 쉴세없이 들어온 것으로 보면 국민,롯데도 이미 넘어갔지싶다.

농협카드 정보유출 확인 : http://goo.gl/E9lYba

국민카드 정보유출 확인 : http://goo.gl/ljdm0y

롯데카드 정보유출 확인 : http://goo.gl/FufPXu

(별 필요도 없는 암호화 모듈 설치를 시도하므로 ie에서 실행하세요.)

농협카드에서 정보가 유출 된 것으로 확인 되는 사람은 카드 해지를 하던지 재발급을 해야만 한다.

국민, 롯데에서 정보가 유출 된 것으로 확인 되는 사람은 재발급을 권유 한다.

하지만, 이렇게 하면 카드 결재 피해는 막을 수 있지만, 쏟아지는 스팸 SMS 피해는 막을 수 없다.

그건 나몰라라 하겠지.. 카드 3사..

이번 카드3사의 개인정보 유출은 해킹이 아니다.

해킹은 '보안 취약점 찾아내어 시스템에 침입해 정보를 빼가거나 시스템에 유해한 영향을 끼치는 것'을 말하는데, 이건 그냥 안에서 프로젝트를 수행하던 사람이 데이터베이스에서 개인정보를 조회해서 들고 나온 것 이다.

그냥, select * from member; 쳐서 목록 뽑아서 들고 나온 것이다.

해본(?)사람으로써 데이터가 암호화만 되어 있어도 쉽게 들고 나오지는 못하는데, 카드 3사는 개인 정보의 암호화 처리를 하지 않아 쉽게 들고나올 수 있었던 것이다.

이번 사건으로 인해, 모든 개인 데이터는 암호화 하는것이 기본이자 의무가 되었으면 한다.