[뉴스엔뷰] KB국민카드, 롯데카드, NH농협카드의 개인정보 유출 파문으로 인해 유출 조회 서비스가 지난 17일부터 이뤄지고 있다.
하지만 일각에서는 NH농협카드의 개인정보 유출 조회 서비스가 오히려 2차 피해를 발생시킬 수 있다면서 주의를 당부하고 있다.
이 보도에 따르면 국민카드는 18일 오전까지 카드 사용자의 생년월일과 주민등록번호 마지막 한자리만 알면 유출 여부를 확인할 수 있도록 했는데 이 때문에 당사자가 아닌 제3자가 다른 누군가의 개인정보 유출 여부는 물론 어떤 정보가 유출됐는지 파악하는 것이 가능했다는 것.
특히 이름과 생년월일이 널리 알려진 정치인이나 연예인 등 유명 인사의 경우 제3자가 마음만 먹으면 그들의 개인정보 유출 여부 및 유출된 정보의 유형에 대해 손쉽게 알아낼 수 있었다고 이 신문은 전했다. 심지어 국민카드 측은 입력 오류 횟수 제한조차 지정하지 않았다.
국민카드 측은 18일 오전 이 사실을 알고 공인인증서, 신용카드, 휴대전화 인증을 통해서만 개인정보 유출 여부를 확인할 수 있도록 보안을 강화했다.
이 신문은 농협카드에 대해서도 설명했다. 농협카드 역시 18일 오후 2시 이후까지 이름과 주민등록번호 일부, 카드번호 일부만으로 개인정보 유출 여부를 확인할 수 있도록 했지만 현재는 신용카드 인증·휴대폰 인증 등을 해야 유출 여부를 확인할 수 있는 상태다라고 보도했다.
이어 그러나 유출 조회를 하는 과정에서 카드의 주요 정보 등을 모두 입력해야 하는 만큼 조회서비스의 보안이 제대로 되었는지와 관련해 의문이 제기됐다고 밝혔다.
이 신문 기사에서 보안전문가 박성진씨는 “NH농협카드의 경우 개인정보 유출조회 이용 시 입력한 개인정보와 금융정보가 모두 평문으로 전송된다”며, “사용자들 간에 같은 무선네트워크를 쓰는 상황에서 입력 문자(평문) 그대로 주요 개인정보가 전송될 경우 해커가 전송되는 모든 데이터를 볼 수 있어 위험하다”고 전했다.
더불어 “안전행정부 소프트웨어 보안취약점 진단가이드에 패스워드, 개인정보(주민등록번호, 여권번호 등), 금융정보(카드번호, 계좌번호 등) 등을 저장할 때에는 반드시 암호화해 저장해야 하고 통신채널을 통해 전송할 때에도 암호화해야 한다고 명시돼 있다”며 “중요 정보에 대해서는 반드시 보안정책에 따른 암호화를 적용해야 한다”고 밝혔다.
또한 그는 “KB국민카드의 경우 개인정보 유출 조회 시 입력 내용을 암호화해 조회하고 있었고, 롯데카드의 경우 암호화 통신은 하지 않고 있지만 입력정보가 그대로 전송되지는 않았다”고 이 신문에서 밝혔다.
이에 누리꾼들은 트위터를 통해 이 소식을 빠르게 전파하고 있고, "홈페이지를 통해 정보조회를 하는 것보다 이메일이나 우편 등을 받아보는 것이 더 안전하다"는 반응을 보이고 있다.
