[뉴스엔뷰] 개인정보범죄 정부합동수사단(단장 이정수 부장검사)이 지난해 발생한 개인정보 대량 유출 사건과 관련해 농협은행과 국민카드, 롯데카드 등 3사를 개인정보보호법 위반 등의 혐의로 불구속 기소했다고 28일 밝혔다.
이들 3사는 2012~2013년 개인신용정보 전문업체인 코리아크레딧뷰로(KCB)에 '신용카드 부정사용예방시스템(FDS) 모델링 개발' 용역을 맡기며 개인정보보호 관련 내부 수칙을 제대로 지키지 않아 고객 개인정보를 유출되게 한 혐의를 받고 있다.
검찰에 따르면 농협은행은 고객의 개인정보보호를 위해 '개인정보보호준칙' 같은 내부 관리 계획을 세웠음에도 고유 식별 정보를 암호화하지 않았고, 외부 용역 직원에게 개인정보 보호 교육을 할 의무가 있음에도 제대로 하지 않았으며 보안서약서도 받지 않는 등 관리가 부실했던 것으로 드러났다.
롯데카드는 '정보보호규정'이라는 내부 관리 계획이 있었지만 보유 기간을 초과한 개인정보를 파기하지 않는 등 고객 개인정보 관리가 미흡했던 것으로 조사됐다. 뿐만 아니라 외주 용역업체인 KCB 직원들이 반입한 컴퓨터 2대에 대해서도 전혀 통제하지 않았고, 이동식 저장 장치(USB)로 정보를 빼내는 것을 막는 보안프로그램조차 설치하지 않은 것으로 드러났다.
국민카드 역시 '전산정보업무 및 전산정보 보안 업무 지침'을 세웠지만 고유 식별 정보 암호화를 강제하지 않는 등 관리에 소홀했고, 외부 용역업체에 고객 개인정보 제공 시에도 분실과 도난, 유출에 대비한 별다른 조치를 취하지 않은 것으로 밝혀졌다.
KCB 직원 박모(39)씨는 이들 3사의 이러한 허점을 노리고 USB 등 외부저장장치를 이용해 고객의 이름, 주민등록번호, 신용카드번호 등의 고객 개인정보를 빼냈으며, 그 규모가 농협 7201만 건, 국민카드 5378만 건, 롯데카드 2689만 건에 달해 고객들의 혼란을 야기한 바 있다.
합수단 관계자는 "세 회사 모두 고객 개인정보 유출에 대비한 내부 매뉴얼을 시행하고 있었지만 제대로 지켜지지 않았다"며 "결국 대량의 개인정보가 유출되는 사고를 막지 못했다"고 말했다.
