(시사오늘, 시사ON, 시사온=박시형 기자)
신한카드와 삼성카드가 고객정보보호 조치에 미흡해 금감원으로부터 제재를 받았다.
7일 금융권에 따르면 신한카드 일부 직원은 2013년 7월~9월 개인 목적으로 제 3자에 대한 개인신용정보를 부당조회 했다.
신한카드는 2013년 11월 자체 점검 과정에서 이 사실을 발견하고도 별도 확인 없이 배우자 등 가족의 거래 내역을 단순조회한 것으로 간주해 자체 서면경고조치만 한 것으로 드러났다.
또 직원들의 자료유출 등을 막기 위해 도입한 '세이프PC'와 개인정보저장검색 프로그램 '이글아이'가 강제 종료나 삭제 등을 통해 쉽게 무력해지는 사실도 발견됐다.
문서암호화 프로그램과 백신은 관리자 승인 없이 삭제할 수 있고, 장시간 설치하지 않아도 재설치를 강제하지 않은 점도 적발됐다.
접속을 차단한 인터넷 사이트는 '스마트폰 테더링'이나 'URL 임의변경' 등을 통해 쉽게 접근할 수 있었다.
업무용 PC는 사내 정보에 쉽게 접근할 수 있는 만큼 자료유출 방지 등을 강화해야 함에도 임의로 조작할 수 있는 등 취약점이 여실히 드러난 것이다.
뿐만 아니라 고객정보를 제공받는 제휴업체에 대해서도 엄격히 제한하고 정보를 USB에 저장하거나 출력, 복사, 가공, 변형 해서는 안된다고 약정했지만 현장점검이 미흡해 정보에 대한 삭제·반납업무가 미흡한 것으로 나타났다.
이에 금감원은 보안프로그램 업그레이드, 보안 우회에 대한 대책 마련 등 통제강화를 요구하는 한편, 제휴업체에 대한 실태점건과 정보 관리의 효율적인 운영을 지시했다.
삼성카드는 지난 2011년 1월17일~11월14일 부정사용방지시스템(Fraud Detection System, FDS) 개선 프로젝트 시운전을 하면서 주민등록번호, 카드 번호 등 주요 개인정보를 변환하지 않은 채 사용한 점을 지적받았다.
FDS 시스템의 가동내역과 DB 접속내역에 대한 기록·관리를 하지 않은 점과 사용자 계정 3개를 여러명이 돌아가면서 사용한 점도 적발됐다.
금감원은 삼성카드에 대해 회사 전체 관점에서 신용정보 제공·관리 등의 업무를 종합적으로 수행할 수 있도록 별도 임원을 신용정보 관리 보호인으로 지정하라고 지시했다.
또 외주인력 장비의 반입·반출을 확인하고 보안조시 우회나 삭제 등에 대한 모니터링을 강화하는 등 보안 대책 관련 업무를 개선하라고 지시했다.
좌우명 : 필요하면 바로 움직여라.