[단독]"KCB, 농협카드에 228억 배상해라"..정보유출, 10년간 '진행형'

금융권 정보 보안사고 사례/그래픽=김현정

지난 2011년 농협 전산망 사고와 2014년 카드사 개인정보 유출 사건을 계기로 대형 금융사의 정보 보안은 강화됐지만 보험대리점(GA)을 비롯해 가상자산거래소, 대부업, 저축은행, 자산운용사 등 중소형사는 여전히 해킹 위험에 노출돼 있다는 우려가 나온다. 특히 보험사가 GA에 보험상품 판매를 위탁하는 과정에서 발생하는 '판매위탁 리스크'(제3자리스크)에 대해 보험사 경영진의 책임을 물어야 한다는 비판도 나온다.

6일 금융권에 따르면 서울고등법원은 NH농협카드가 신용정보업체 KCB(코리아크레딧뷰로)를 상대로 제기한 카드사 개인정보 유출사고와 관련한 손해배상소송(2심)에서 지난 1일 228억원을 배상하라고 선고했다. 이는 지난 2014년 KCB 직원이 농협카드를 비롯해 KB국민카드, 롯데카드 등 카드사 고객 정보 1억400만건을 유출한 사건으로 10년이 지난 현재도 손해배상 소송이 진행 중이다.

총 4000만건이 유출된 KB국민카드에 대해선 대법원이 지난해 KCB가 623억원의 손해배상을 하라고 판결했다. 이어 농협카드는 1심에서 180억원 배상을 내렸다가 2심에서는 48억원 늘어난 것이다. 배상액은 카드사 손해액의 60%에 해당한다. 카드사 개인정보 유출 사건은 금융권에서 발생한 역대 최대 규모다. 카드사들은 정보가 유출된 고객에 대해 2014년 당시 1인당 10만원의 배상금을 지급했다.

이 사건을 비롯해 농협 전산망 사고(2011년) 등을 계기로 금융권의 해킹과 정보 보안 규제가 대폭 강화됐다. 전자금융업 감독규정에 따라 '557규정'이 시행돼 전체 인력 5%는 IT인력, IT인력 5%는 정보보호 인력, 전체 IT 예산 가운데 7%는 정보보호 예산으로 배정해야 했으며 정보보호최고책임자(CISO)의 권한과 역할도 강화됐다.

다만 이번 GA 해킹사고를 통해 사각지대 관리 필요성이 제기된다. 보험사의 정보 보안은 과거 대비 대폭 강화됐으나 보험사의 상품을 위탁 판매하는 '제3자 리스크'는 갈수록 더 심화하고 있어서다. 보험사들은 전속 보험설계사를 대폭 줄이는 대신 GA를 통해 보험상품을 절반 이상 판매 중이다. 이로 인해 GA에 계약자의 민감한 정보가 집중되고 있으나 보험사 수준의 정보 보안은 기대하기 어렵다.

거래 규모가 급증하고 있는 가상자산거래소의 해킹 우려도 고조된다. 소규모 자산운용사나 대부업체, 저축은행업계, PG사(전자결제대행사) 등도 금융보안의 사각지대에 놓였다. 이들 업권 대부분은 금융보안원의 정회원사도 아니다.

금융권 관계자는 "금융사들은 정보 보안을 비용으로 인식하는 경우가 많아 위험을 외주화 하는 경향이 있다"며 "GA 해킹 사태가 터졌는데, 사고 규모 파악도 어려울 뿐 아니라 최종적으로 누가 책임을 져야 하는지도 명확지 않다"고 지적한다.

금융당국은 올해부터 시행하는 금융회사 책무구조도에 제3자 리스크를 반영, 금융회사 임원이 직접 책임을 지도록 감독 방향을 잡고 있다.

권화순 기자 firesoon@mt.co.kr