개인 정보가 '전방위 유출'이라는 벼랑 끝에 몰렸다.

올해 초 KB국민·롯데·NH농협 등 카드3사의 고객 개인정보 유출 1억 건을 시작으로 외부로 나간 2차 유출, 보험사의 1만 건, 씨티·SC은행 5만 건, 신한·국민·농협카드 등 POS단말기 해킹 20만 건 유출까지 불과 3개월 여만에 전방위적으로 개인 정보가 유출됐기 때문이다. 안 털린 개인정보가 없다는 얘기도 나오고 있다.

특히 최근에는 금융권에서 유출된 정보가 2차 피해로 이어진 사례가 등장하면서 국민들의 불안이 더 커지는 상황이다.

지난 1월 신제윤 금융위원장과 정부가 단언했던 "2차 피해는 없을 것"이라는 주장과 "당초 유출됐던 개인정보는 전량 회수돼 시중에 유통되지 않았기 때문에 부정 사용 가능성은 없다고 판단한다"는 말은 이미 무색해졌다.

◆ 문자·단말기 포인트 등 수법 다양화

수법도 다양해졌다. 최근 검거된 단말기 해킹의 주범인 이 모(36)씨 등은 커피전문점과 식당 등에 설치된 POS 단말기를 통해 관리업체의 서버에 침투, 신용카드 정보를 유출했다.

IT 보안업체 직원이었던 그는 커피 전문점 등에서 포인트 카드를 현금처럼 사용하려면 비밀번호를 입력해야 하는데 이 비밀번호가 대개 신용카드의 비밀번호와 같다는 점을 노렸다.

이렇게 해서 수집한 개인정보는 무려 20만 건. 이들은 신용카드를 복제한 뒤 포인트 카드의 비밀번호를 하나씩 대입했고 두 카드의 비밀번호가 같은 신용카드 149장을 찾아내 현금 1억 2000만 원을 빼냈다.

대표적인 금융사기 수법이던 문자나 메일, 보이스피싱 등에서 한 단계 더 나아간 것.

특히 빵집이나 음식점 등 전국에 36만대나 깔려있는 POS 단말기에서 이 같은 사태가 벌어졌다는 점에서 불안감은 확산되고 있다.

금융당국은 선제적 대응을 위해 모든 카드사들이 부정사용방지시스템(FDS)을 가동하고 부정 사용 적발 시 곧바로 경찰에 통보하도록 지시했다.

11일 금융위원회와 금융감독원은 '금융분야 개인정보 유출 재발방지 종합대책' 2차 회의를 열고 후속조치 이행 상황을 점검했다.

이날 금융당국은 마케팅 활용 동의가 없는 고객에게는 문자나 전화를 하지 않는 비대면영업 가이드라인과 고객정보수집 동의서를 개편키로 했다.

또 카드 가맹점의 단말기를 보안성이 높은 집적회로(IC)단말기로 전환하고 해킹 등을 통한 개인정보 유출 위험성이 높은 POS시스템은 보조 IC리더기 설치 등을 통해 올해 말까지 IC 결제가 가능하도록 조치하기로 논의했다.

이를 위해 신용카드업계는 내년까지 총 1000억원의 기금을 조성해 약 65만개 영세가맹점의 단말기 교체를 지원할 계획이다.

금감원 관계자는 "신용카드 결제 과정에서 중요한 역할을 담당하는 신용카드 결제 승인·중계업자(VAN사)에 대해서도 체계적인 관리를 통해 감독 사각지대를 해소하고 카드 결제의 안정성을 제고할 방침"이라며 "불법정보 유출과 활용이 재발하지 않도록 이미 마련한 대책들을 조속히 이행해 나가는 한편 금융위와 금감원 합동 점검회의를 통해 매월 점검해 나갈 계획"이라고 말했다.

은행과 카드업계에서도 재발 방지와 정보 보호에 한 목소리를 냈다.

신한카드 관계자는 "이번 포스단말기 유출과 관련해 사고 가맹점의 정보유출 고객에 대해 지난 1월 소비자보호 사전안내를 통해 재발급 등 필요한 조치를 완료했다"며 "기존 조치 완료 고객을 제외한 나머지 고객의 피해를 예방하고자 카드 재발급 안내 및 24시간 FDS 모니터링을 강화하고 있다"고 말했다.

한국씨티은행 또한 "고객 정보 유출로 실제 피해가 발생했다면 전액 보상할 방침"이라며 "이와 같은 사건이 발생되지 않도록 고객 정보 보호 조치를 강화하고 내부 통제에 온 힘을 쏟겠다"고 밝혔다.

하지만 불신의 눈초리를 쉽사리 걷어내지 못하고 있는 것이 현실이다. 그간 금융권이 소리 높였던 대책 마련 발언에도 불구하고 잇따라 터져나오는 개인정보 유출 사고에 국민의 피로감과 신뢰가 떨어지고 있기 때문.

◆ '도둑은 하나의 문만 노리지 않아'

결국 갈수록 치밀하고 다양해져가는 수법을 막기 위해서는 종합적인 대응과 소비자 스스로의 주의가 필요하다는 게 전문가들의 중론이다.

"도둑은 하나의 문만 따고 들어오지 않는다. 정보보안도 하나가 아닌 종합적인 대응이 필요하다."

조규민 한국인터넷진흥원 정보보호산업단장은 지난 9일 한국거래소에서 열린 '1분기 산업콘퍼런스'에 참석해 이같이 주장했다. 이날 조 단장은 '정보보안 산업의 동향 및 전망'이라는 주제로 최근 개인정보 유출 사건과 정보보안산업에 대한 현황과 전망을 발표하며 "IT를 기반으로 한 인프라가 발전하면서 정보보안의 이슈도 가속화 되고 있다"고 설명했다.

스마트폰과 PC 등 일상생활에서 떼려야 뗄 수 없는 많은 것들이 IT를 베이스로 구성돼 있다는 것.

그는 "예를 들어 최근 지원이 종료된 마이크로소프트 윈도XP 버전의 경우, 전국 현금인출기(ATM)의 90% 이상을 차지하고 있는 것으로 추정된다"며 "ATM기기는 소프트웨어 업그레이드도 어렵고 비용도 많이 들어가는데 이러한 점에서 정보보안에 대한 취약점이 드러난다"고 지적했다.

이와함께 조 단장은 "더 성장해야 하는 쪽은 인력에 대한 교육과 서비스 등의 부분"이라고 강조했다.

그는 "카드사의 정보 유출 사건은 관리적인 문제로 볼 수 있는 측면이 많다"며 "기업의 비밀이나 이를 유출하는 것 또한 내부 소행이 더 많다는 점을 볼때 사람을 잘 관리하고 투자해야 한다"고 제안했다.

이어 "정부에서도 인센티브 등 기업이 기술투자를 늘리는 방향으로 활성화를 유도해야 한다"고 덧붙였다.

스스로 정보를 챙길 수도 있어야 한다. 금감원은 최근 소비자 주의보를 발령하며 각별한 주의를 기울여 줄 것도 당부했다.

금감원 관계자는 "금융회사나 공공기관은 유선상으로 송금같은 금융거래나 통장, 카드 등을 요구하지 않기 때문에 금융거래정보 요구에 응하면 안된다"며 "은행에서도 '저금리 전환' 등을 유선이나 문자메시지로 안내하지 않고 이러한 SMS 문자는 대출을 빙자한 사기일 확률이 높다"고 설명했다.

이 관계자는 "POS등 제3자에 의한 신용카드 부당 현금인출 사고를 예방하기 위해서는 신용카드 비밀번호를 멤버쉽카드 등과 동일한 번호로 사용하지 않아야한다"며 "금융관련 비밀번호는 주기적으로 변경하는 것이 안전하다"고 말했다.

또 "개인정보 유출로 인한 금융사기 피해에 대한 인과관계가 확인되면 해당 금융회사가 피해내용을 보상할 수 있도록 적극 지도할 계획"이라며 "피해가 발생했을 경우에는 경찰청(112), 금융감독원(1332) 또는 금융회사의 콜센터에 즉시 지급정지를 요청하고 휴대전화 소액결제 피해, 휴대전화 내 주요자료 유출 등 스미싱 피해를 입은 경우에도 사이버테러대응센터(182)등으로 즉시 신고해야 한다"고 강조했다.