법적 배상은 미미 "피해 사실 입증 어려워"
[더팩트│황원영 기자] 개인 신용·체크 카드 정보가 무더기로 유출되거나 불법 유통되는 사고가 연이어 발생하면서 금융 소비자들의 불안이 커지고 있다. 반복되는 정보 유출에도 이에 대한 배상은 미미하다는 지적이 나온다.
17일 대규모 카드 개인 정보가 유출되는 사고가 발생한 가운데 각 카드사 콜센터에는 소비자들의 문의나 불만이 끊임없이 접수되고 있다. 소비자들은 본인의 개인정보가 유출됐는지 확인하거나 불안한 마음에 카드 재발급을 받겠다고 나서는 것으로 알려졌다.
앞서 서울지방경찰청 보안수사대는 지난해 6월 하나은행 전산망을 해킹하려다 구속된 이모 씨의 추가 범행을 수사하던 중 1.5TB(테라바이트)의 외장하드를 압수했다. 외장하드에는 주민등록번호, 은행계좌번호, 휴대전화번호 등 고객 개인정보가 대량으로 담겨있는 것으로 확인됐다.
데이터 용량만 61기가바이트(GB)로, 적게는 수십만 명에서 많게는 수천만 명의 개인정보까지도 보관 가능한 수준이다. 이 씨는 국내 카드가맹점 포스(POS)단말기, 멤버십가맹점, 현금자동입출금기(ATM) 등을 해킹해 정보를 빼냈다.
이 같은 사실이 알려지면서 소비자들의 불안이 커지고 있다. 소비자들은 "대규모 유출 사건이 발생했는데 대책은 언제쯤 나오는 것이냐"며 우려의 목소리를 내고 있다.
특히 뒤늦게 금융당국과 경찰이 공조 수사를 진행키로 했다는 사실이 알려지면서 불만이 더욱 커지고 있다. 앞서 경찰은 금융당국과 신용카드사에 유출된 개인정보를 분석해달라고 요청했으나 금융당국이 법적인 문제를 이유로 협조하지 않아 논란이 됐다. 금융당국은 경찰 수사를 돕기 위해 금감원 인력을 파견하고 부정방지사용시스템(FDS) 가동 강화 등 긴급조치를 시행할 계획이다.
소비자들은 잦은 개인정보 유출 사고에 지쳤다고 입을 모은다. 앞서 9일에는 해외 다크웹을 통해 국내 신용카드 정보 90만 건이 불법 유통됐다는 사실이 알려지기도 했다. 다크웹은 특정 프로그램을 통해서만 접속할 수 있는 온라인 암시장이다. IP 추적을 피할 수 있어 신용카드 정보 거래자들을 추적하기 어렵다.
불법 유통된 정보의 54%는 유효기간이 만료됐거나 카드가 재발급돼 사용 불가능한 것으로 나타났지만, 아직 유효한 카드 정보도 41만 건에 이르는 것으로 파악됐다. 특히, 결제에 필요한 모든 정보(카드번호, 유효기간, CVC 코드)가 유출된 케이스는 1000건으로 이들 카드는 실제 금전적인 피해가 발생할 수 있어 논란이 됐다.
카드 개인정보 유출은 과거에도 지속적으로 발생했다. 2014년 KB국민카드·농협은행·롯데카드 고객정보가 1억500만 건 이상 유출된 카드사 개인정보 대량 유출 사건은 최악의 정보 유출 사태로 꼽힌다. 당시 카드 3사에 등록됐던 고객의 이름·주민등록번호·휴대전화 번호·주소·카드번호 등 최대 19개 항목의 개인정보가 유출됐다. 2017년에는 일부 현금자동화기기(ATM)가 해킹당하면서 고객 개인정보가 유출돼 금전적인 피해가 발생하기도 했다.
이처럼 개인정보 유출 사례가 빈번하게 발생하고 있지만, 법적 배상은 미미하다. 피해자가 개인정보 유출로 입은 손해를 입증하기가 어렵고, 스팸메일이나 보이스피싱이 정보 유출에 따른 것이라는 인과관계를 밝혀내기 힘들기 때문이다. 개인정보 유출에 따른 민사소송은 곳곳에서 진행 중이지만, 피해자가 승소한 사례는 많지 않다.
금융업계 관계자는 "금융업계뿐 아니라 온라인 쇼핑몰이나 앱 서비스 등에서도 개인 정보 유출 사건이 발생한 경우가 많다"며 "법원이 판결할 때 해당 업체가 해킹 방지 의무를 소홀히 했거나 위반했는지 따져보는 경우가 많은데 금융사뿐 아니라 각종 업체 대부분 해킹을 방지하기 위해 다양한 장치를 마련해 놓고 있다"고 말했다.
다만, 카드 정보 유출 사건으로 피해 보상을 받은 경우도 있다. 2014년 카드사 정보 유출 피해자들이 KB국민카드·신용정보업체 코리아크레딧뷰(KCB)에 제기한 손해배상소송에서 법원은 피해자에게 각 10만 원씩 배상해야 한다고 판결했다. 재판부는 "유출된 카드 고객 정보는 이미 제3자에 의해 열람됐거나 앞으로 열람될 가능성이 크다"며 "카드사는 개인정보 보호 의무를 위반해 카드 고객 정보가 유출되는 사고 원인을 제공했다"고 판시했다. 이에 카드 3사는 지난해 8월 위자료를 지급했다.
카드 정보 유출 등에 따른 부정 사용이 확인될 경우 금융회사에서 전액 보상받을 수도 있다. 현행 여신전문금융업법에 따르면 해킹, 전산장애, 정보 유출 등 부정한 방법으로 얻은 신용카드 정보를 이용한 부정 사용에 대해서는 신용카드업자가 책임을 부담하도록 하고 있다.
카드사 관계자는 카드 부정 사용을 예방하기 위해 "가맹점에 마그네틱 인식 방식이 아닌 IC칩 인식 방식의 결제를 요청하고 비밀번호를 주기적으로 변경해야 한다"며 "해외 승인 중지 서비스를 신청하는 것도 중요하다"고 당부했다.