금융당국의 부실 감독이 또 한번 대형 개인정보 유출 사고로 이어졌다. 신용카드결제 판매관리시스템(POS장비) 관리업체 서버에서 고객정보 약 1,200만건이 유출된 사건(본보 5일자 1면)도 감독만 제대로 이뤄졌으면 막을 수 있었던 것으로 드러났다.

5일 금융권에 따르면 금융감독원과 여신금융협회는 2010년 8월 'POS 가맹점 단말기 보안강화방안'을 마련하고 시행한다고 밝혔었다. 당시 방안도 이번처럼 치킨점, 쌀국수전문점, 보쌈점 등 소규모 카드가맹점에서 약 9만9,000건에 이르는 카드정보 및 개인정보가 유출되자 재발을 막기 위해 마련된 것이다.

방안의 핵심은 ▲POS단말기 약 20만개에 표준보안프로그램 설치 ▲신용카드 거래정보 저장 금지(기존 거래정보는 삭제) ▲중요 거래 정보 암호화를 통해 고객정보유출을 원천 차단한다는 것. '이를 준수하지 않은 POS단말기에서 신청하는 신용카드 거래승인 요청은 이듬해인 2011년 1월 1일부터 승인이 거절될 예정'이라는 규제도 덧붙였다. 금감원과 협회는 당시 "보안강화방안으로 고객정보 유출사고 사전 예방, 부정사용 등에 따른 카드사의 경제적 손실 방지 및 신뢰성 제고에 크게 기여할 것"이라고 밝혔다.

하지만 방안만 마련해 놓고 누구 하나 실행 여부를 감독하지 않았다. 여신전문금융업법(여전법)상 신용카드 결제망에 대한 관리책임은 카드사에 있다. 하지만 카드사는 단말기 관리업무를 카드결제 대행업체인 밴(VAN)사에 위탁했고, 밴사는 여전법 규제를 받지 않아 보안강화 방안을 따르지 않아도 제재를 받지 않는다. 때문에 굳이 비용을 들여가며 보안프로그램을 설치하고 유지할 이유가 없다. 카드사는 밴사를 통해 가맹점 수가 늘어날수록 이익도 증가하기 때문에 보안강화 지침을 어긴 결제승인을 계속 승인해 왔다. 감독당국과 협회도 이 같은 상황을 방치했다.

금감원 관계자는 "보안프로그램 설치를 지속적으로 추진했는데 밴사들과 대리점들이 난립해 강제할 수 없는 한계가 있었다"고 해명했지만, 이는 실행할 수 없는 방안을 만들었던 점을 자인한 것이라는 지적이다.

이런 허점을 비집고 새어나간 고객 카드정보로 인해 신용카드 부정사용은 매년 100억원 안팎에 달한다. 보안전문가들은 2010년 마련된 방안이 제대로 실행됐다면 얼마든지 피해를 줄일 수 있었다고 보고 있다.

금융위원회 관계자는 "이번에 포함되는 고객정보 보호방안에 관리 사각지대였던 밴사를 여전법 체계에 포함시키는 안이 포함됐다"고 밝혔다. 하지만 이미 수많은 고객 정보가 불법적으로 유통되는 현실에서 '소 잃고 외양간 고치기'식 대책이라는 비판은 피할 수 없을 것으로 보인다.

양수진 기자 다른기사 보기