‘정보유출 대란’, 이윤 노린 무분별한 외주화가 부른 예고된 참사

금융회사들 보안업무 다단계 외주화로 관리감독 부실...대출모집인 확대 등 이윤추구 매몰 지적도

정웅재 기자 jmy94@vop.co.kr
입력 2014-01-21 17:21:06l수정 2014-01-21 19:20:40
카드사로부터 카드 부정사용 방지시스템 개발 용역을 받아 업무를 진행하던 코리아크레딧뷰로(KCB) 직원이 3개 카드사 고객 신용정보 1억400만건을 불법 유출하는 충격적 사건의 파장이 크다.

해당 카드사인 KB국민카드, 롯데카드, NH농협카드가 후속 대책을 내놓고 금융위원회 등 당국도 대책을 내놓고 있지만, 정보유출에 따른 2차 피해의 가능성을 생각하면 금융권의 대응은 사후 약방문이 될 수밖에 없다. 최근 금융권에서 개인정보 유출 사고가 반복되고 있다는 점에서 책임규명과 후속조치가 정확히 따라야 한다는 지적이 일고 있다.

외주화에 따른 관리 감독 부실

전문가들은 잇따른 개인정보 유출 사건의 원인으로는 우선 보안 업무의 외주화에 따른 관리 감독 부실 문제를 지적한다. 또 금융회사들이 대출 모집인 확대 등 개인정보 유출의 위험을 감수하면서까지 이윤추구에 매몰된 결과라는 지적도 나온다. 모두 이윤 지상주의에 따라 비용을 절감하면서 벌어진 문제들이다.

KB국민카드 등과 계약을 맡고 보안 업무를 담당하던 외주업체 직원이 고객 개인정보 1억400만건을 불법 유출해 파문이 일고 있다. 금융권의 보안업무 외주화와 무분별한 이윤추구가 부른 필연적 참사라는 지적이 나오고 있다.

KB국민카드 등과 계약을 맡고 보안 업무를 담당하던 외주업체 직원이 고객 개인정보 1억400만건을 불법 유출해 파문이 일고 있다. 금융권의 보안업무 외주화와 무분별한 이윤추구가 부른 필연적 참사라는 지적이 나오고 있다.ⓒ양지웅 기자



이번에 사상 최대 규모의 개인정보를 유출했다가 적발된 사람은 개인신용정보회사인 코리아크레딧뷰로(KCB)의 개발 담당 책임자다. 코리아크레딧뷰로는 은행, 카드, 보험사 등 19개 대형금융회사가 공동으로 출자해 2005년 설립한 자회사로, 금융회사로부터 개인의 거래 정보를 수집하고 이를 가공하여 다양한 형태의 리스크관리 서비스를 제공하는 회사다.

KB국민카드 등은 KCB와 카드부정사용방지시스템(FDS)을 고도화하는 계약을 맺고 개발업무를 진행해왔다. 이 과정에서 카드사에 파견돼 개발 업무를 책임졌던 KCB 직원이 3개 카드사의 고객 정보를 USB 담아서 대출 광고업자와 대출모집인에게 팔다 적발된 것이다.

외부업체 개발 책임자가 카드사가 보유하고 있는 고객의 개인정보에 접근할 수 있었던 것도 문제지만, 고객의 중요한 정보를 USB에 담아 빼돌렸다는데서 보안 관리가 얼마나 허술하게 이뤄졌는지 짐작할 수 있다.

김인성 한양대 컴퓨터공학과 교수는 "보안사고의 기본은 당사자들이 일으키는 것이다. (작업장에서) USB 같은 것은 사용할 수 없도록 했어야 하는데, USB에 개인 정보를 담아갔다는 것은 기초적인 보안도 이뤄지지 않았다는 것이다"라고 지적했다.

김 교수는 또 "프로그래밍을 할 때 (보안 사고를 막기 위한) 기본은 가상의 데이터나 암호화된 데이터를 사용하는 것"이라며 외주업체 직원이 고객의 실제 개인정보에 접근할 수 있었던 보안의 취약성 문제도 지적했다.

결국 보안업무를 하청에 재하청을 주면서 관리감독이 제대로 이뤄지지 않는다는 것이다. 1990년대 후반까지만 해도 대부분 금융회사들은 전산실에서 신입직원을 직접 고용해 전산업무를 진행했다. 그러나 2000년대 들어서면서 상당수 기업들이 자회사를 만들어 전산업무를 외주화하거나, 협력업체에 하청을 줬다. 지난해 12월 외주업체 직원이 고객 개인정보를 불법 유출해 적발된 SC제일은행의 경우, IT 업무 인력 150여 명 중 100여 명이 외주업체 소속이다. IT 업무 인력 3분의 2 가량이 외주화된 현실이다.

은행에서 1차 협력업체에 개발업무를 맡기면, 이 업체는 다시 2차 협력업체에 하청을 주고 하청업체들은 프리랜서 IT 인력을 활용해 업무를 진행하는 식이다. 비용 절감을 위한 다단계 하청 구조에서 보안 관리 감독은 취약해질 수밖에 없는 것이다.

전국금융산업노조 이지섭 홍보부장은 "금융지주회사가 전산 자회사를 차린 경우만 해도 어느 정도 규제가 가능한데, IT 전문업체들에 개발 업무를 맡기는 경우에는 다단계 하청으로 내려가면서 통제가 느슨해질 수밖에 없다"고 지적했다.

한 시중은행 관계자는 "은행권에서 비용절감을 위해 외주업체 인력을 비정상적으로 많이 쓰고 있다. 광범위한 외주화로 문제를 일으킬 수밖에 없는 여건이다"라고 말했다.

무분별 대출모집인 확대 등
이윤추구에 매몰된 필연적 결과


고객의 개인정보 유출은 금융회사가 무부분별한 대출모집인 확대 등 개인정보 유출의 위험을 감수하면서까지 이윤추구에 매몰된 결과라는 지적도 나왔다. 이지섭 홍보부장의 설명이다.

"원래 모집인 제도는 보험업에만 허용됐었는데, 김대중 정부에서 카드가 풀리고 은행에도 대출 모집인 제도가 허용되면서, 대출이 필요한 사람들이 은행에 와서 신청을 하는 것에서 은행이 대출 모집인을 통해 적극적으로 대출 영업을 하는 것으로 바뀌었다. 대출 모집인들은 (대출 성사 한) 건당 수수료를 받는 구조다. 은행 입장에서는 인건비를 줄이면서 적극적으로 대출 영업을 할 수 있게 된 거다. 모집인 입장에서는 대출 성사 건을 늘리기 위해 개인 정보에 대한 욕구를 느낄 수밖에 없고, 그러다보니 고객 정보를 사고 파는 일이 벌어지는 것이다."

전국금융산업노조는 성명을 내고 "1억여건에 이르는 사상 초유의 정보유출 사태가 발생한 근본 원인은 금융산업에 만연한 성과지상주의 때문이다. 지난해 12월 드러난 SC은행과 시티은행의 정보유출 사태와 이번 카드사 정보유출 사태의 공통점은 모두 잠재적인 대출 고객들의 개인정보가 필요했던 대출모집인으로부터 시작됐다는 점"이라며 "이러한 금융시스템의 구조적 문제점을 개선하지 않는다면 개인정보 유출 사태는 재발할 수밖에 없다"고 지적했다.

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

  • 1
  • 2
  • 3