금융감독원이 13일 국회 기관보고를 통해 1억여건의 카드사 고객 정보 유출 사건의 전반적인 흐름에 대해 밝혔다.

정보 유출 카드사인 국민카드와 롯데카드, 농협카드가 전자금융감독 규정을 어겨 발생한 인재(人災)라는 결론이 나왔다.

이번 사고는 신용정보업체 코리아크레딧뷰로(KCB)의 한 직원이 카드 부정사용방지시스템(FDS) 개선 작업의 용도로 받은 개인정보 실데이터를 보안프로그램이 설치되지 않은 PC를 통해 USB로 절취하면서 발생했다.

사고 발생 시점은 국민카드가 지난해 6월, 농협카드가 2012년 10월과 12월, 롯데카드가 지난해 12월이었다.

전자금융감독규정은 금융사에 대해 전산프로그램 테스트를 할 때에는 실데이터의 사용을 금지하고 이를 변환해 사용하도록 규정하고 있으나, 이들 카드사는 실제 개인 정보를 변환 없이 제공했다.

USB 통제프로그램 등을 설치하도록 감독규정에 나와있는데도 이들 카드사는 무시했다.

개인정보 유출 경로는 ‘운영 서버→내부직원 PC 또는 개발 서버→USB 통제프로그램이 미설치된 KCB직원 PC→USB’로 이뤄졌다.

삼성카드나 신한카드처럼 전자금융감독규정에서 정한 대로 용역직원에게 정보를 변환해 제공하거나 용역직원이 반입한 PC에 USB 통제프로그램을 설치했다면 이번 유출 사고는 막을 수 있었다고 금감원은 분석했다.

금감원은 이날 국회 기관보고에서 개인정보보호 법규 이행 실태에 대한 현장 감시가 미흡했던 점을 인정했다.

그동안 금감원은 IT 보완 관련 감독·검사가 해킹 등에 의한 외부 유출 예방 및 내부통제 규정, 정보보안절차 등 제도 정비에 집중했다.

그러나 금융사의 개인정보 관리 실태 및 전산 개발 시 법규 준수 여부 등을 수시로 현장에서 밀착 점검하는 데는 한계가 있었다고 금감원은 밝혔다.

프로그램 개발장소 제한, 전산기기 반출입의 원천적 금지 등 금융사 내부통제 운영 실태에 대한 관리 감독상 미비점을 노출했고, 금융사 경영진에 대한 지도가 부족한 점도 시인했다.

한편, 2009년 이후 지난 5년간 19개 금융사에서 20건의 개인정보유출사고가 발생해 총 1억919만건의 정보가 유출됐다.

/권혁민기자 joyful-tg@