소나기만 피하는 금융회사 CEO들

▲ 2011년 대규모 개인정보 유출 사건이 터졌지만 이를 책임지고 물러난 CEO는 없었다. 최지훈 전 삼성카드 사장(왼쪽부터), 정태영 현대캐피탈 사장, 이강태 전 하나SK사장.[사진=더스쿠프 포토]

개인정보 유출사건에 휘말린 금융회사 CEO는 고개를 숙이면서 이렇게 말한다. “책임지겠다.” 하지만 누구도 그 약속을 지키지 않는다. ‘소나기만 피하면’ 언제 그랬냐는 듯 자리를 지킨다. 다른 계열사나 금융회사의 CEO로 발탁되는 일도 있다. 금융당국의 솜방망이 처벌, 이게 문제다.

1억400만건에 달하는 개인정보 유출사고가 발생한지 한달이 지났다. 신용평가사 코리아크레딧뷰로(KCB)의 직원이 이동식저장장치(USB)를 이용해 전산에 들어 있는 개인정보를 빼돌린 게 화근이었다. 이름ㆍ주민번호ㆍ휴대전화번호ㆍ주소ㆍ거주상황ㆍ카드신용한도금액ㆍ카드신용등급ㆍ카드결제일ㆍ카드결제계좌 등 19종의 개인정보가 유출됐다. KCBㆍKB국민카드ㆍNH농협카드ㆍ롯데카드 대표가 대국민 사과를 했지만 사태는 진정되지 않았다. 사건 한달이 흐른 현재 카드3사에서는 10% 이상의 고객이 이탈했다. 사건수습 비용 역시 적지 않을 전망이다.

3개월간의 영업정지 처분도 내려졌다. 이에 따라 카드 3사는 2월 17일부터 5월 16일까지 신용카드ㆍ체크카드ㆍ기프트카드 등의 신규 회원 모집과 발급을 할 수 없다. 영업정지 기간 발생할 손해는 500여억원에 달할 것으로 보인다. 금융당국은 아울러 카드3사의 전ㆍ현직 최고경영자(CEO)에게 해임을 권고할 방침이다. 사건 직후 심재오 KB국민카드 사장과 손경익 NH농협카드 분사장이 자리에서 물러났다. 사퇴가 보류됐던 박상훈 롯데카드 사장도 2월 21일 교체됐다.

▲ [더스쿠프 그래픽]

개인정보 유출문제는 어제오늘의 일이 아니다. 철만 되면 기업의 ‘보안망’이 뚫렸고, 개인정보 상당수가 흘러나왔다. 해킹이냐 사고냐 원인만 달랐을 뿐이다. 그럼에도 개인정보 유출문제가 끊이지 않는 건 ‘솜방망이 처벌’과 ‘안이한 보안의식’과 무관치 않다.

시계추를 2011년으로 돌려보자. 당시 현대캐피탈ㆍ삼성카드ㆍ하나SK카드ㆍ하나캐피탈ㆍ리딩투자증권ㆍNH농협증권ㆍ한화손해보험 등에서 개인정보 유출사건이 터지면서 사회적 이슈가 됐다. 그러나 이 회사의 CEO 가운데 개인정보 유출책임을 지고 사퇴한 이는 단 한명도 없었다. 금융당국의 솜방망이 처벌을 받은 게 고작이었다.

▲ 금융당국은 금융보안과 관련해 최고 경영자도 실무 당사자와 같은 수준의 책임을 묻겠다는 방침을 밝혔다.[사진=뉴시스]
삼성카드에서 고객정보가 유출된 건 2011년 8월. 고객관리부서 영업직원 박모씨가 고객 수십만명의 개인식별정보를(서명ㆍ휴대전화 번호ㆍ직장ㆍ나이) 관련 업체에 유출했다. 박씨는 2010년 1~2011년 8월 20개월간 삼성카드 서버를 196회에 걸쳐 해킹해 고객정보 192만여건을 조회했다. 이 가운데 47만여건을 자신의 노트북에 내려받아 260여회에 걸쳐 4700여장의 인쇄물을 출력해 300명의 개인정보를 판매했다.

금융감독원은 특별검사를 통해 삼성카드의 내부통제 시스템을 점검하는 동시에 강력한 제재의사를 밝혔다. 그러나 강력한 제재는 없었다. 기관주의와 과태료 600만원 조치가 전부였다. 최치훈 삼성카드 전 사장 역시 ‘주의적 경고’를 받는 데 그쳤다. 지난해 12월까지 삼성카드 CEO를 지낸 그는 올 1월 28일 삼성물산 대표로 공식 취임했다.

철만 되면 터지는 개인정보 유출사건

▲ [더스쿠프 그래픽]
2011년 9월 하나SK카드에서도 고객정보 유출사건이 터졌다. 텔레마케팅 지원업무를 담당하던 직원이 이름ㆍ연락처ㆍ주민번호 등의 고객정보 9만여건을 개인 이메일을 이용해 유출했다. 그중 5만1000여건은 분양대행업자에게 넘겼다. 하지만 이강태 하나SK카드 전 사장은 주의적 경고를 받는 데 그쳤다. 하나SK카드 역시 기관주의만 받았다. 이 전 사장은 2012년 8월 비씨카드 사장으로 자리를 옮겼다. 징계 수위에 따라 사장 취임이 어려울 수 있다는 예상이 있었지만 솜방망이 처벌로 사장에 올랐다.

해킹으로 인한 정보유출사건도 줄을 이었다. 2011년 4월 7일 현대캐피탈은 해커로부터 42만명의 고객정보를 해킹당했다고 신고했다. 유출된 고객정보가 이름ㆍ이메일ㆍ주소 등으로 주민등록번호와 금융정보 등은 포함되지 않았다고 설명했다. 하지만 자체조사에서 일부 고객의 신용등급과 대출비밀번호까지 유출된 것으로 확인됐다. 42만명뿐이라던 유출개인정보 건수도 크게 늘어났다. 금융감독원의 특별감사 결과 175만명의 개인정보가 해킹된 것으로 조사됐다.

▲ [더스쿠프 그래픽]
해킹은 퇴직직원 등 업무관리자의 계정과 패스워드를 이용해 이뤄졌다. 광고메일 서버에 접속할 수 있는 권한을 외부인에게 부여하고 퇴직자의 계정을 유지하는 등 서버접근계정과 비밀번호를 허술하게 관리한 게 원인이었다. 게다가 해킹 시도가 있었던 인터넷 IP주소를 발견하고도 차단하지 않았다. 고객 비밀번호도 암호화하지 않아 피해를 키웠다는 비판을 받았다. 해킹 사건 직후 정태영 현대캐피탈 사장은 기자회견을 열고 사과문을 발표하며 “책임질 일이 있으면 책임지겠다”고 밝혔다. 하지만 그는 여전히 사장직을 유지하고 있다. 그에게 내려진 금융당국의 징계 역시 ‘주의적 경고’에 불과했다.

개인정보 유출사건이 발생할 때마다 CEO 책임론이 제기됐다. 특히 개인정보유출사건이 연이어 터진 2011년 금융당국은 보안사고 책임을 CEO가 지도록 하겠다고 밝히기도 했다. 그러나 그 누구도 사임이나 사퇴를 하지 않았다. 올해 사퇴한 카드3사가 유일하다. 금융당국의 솜방망이 처벌과 ‘소나기는 피하고 보자’는 인식이 빚은 일이다.

2011년 ‘개인정보 유출’이라는 소나기를 간신히 피했던 금융회사는 사건이 잊어질 만하자 ‘우리가 뭘 잘못했는가’라는 입장을 밝히고 있다. 책임을 회피한 것도 모자라 되레 당당해 진 것이다. 현대캐피탈 관계자는 “정부도 해킹을 당하는데, 우리가 어떻게 해킹을 100% 막겠는가”라고 말했다. 현실적 어려움을 얘기한 것이지만 이 관계자의 말대로라면 금융사들은 지키지도 못할 개인정보를 무차별적으로 모으고 있는 셈이다.

조남희 금융소비자원 대표는 “최대 50여개에 달하는 무분별한 개인정보 수집은 또 다른 정보유출의 원인이 될 수 있다” 며 “개인 정보의 종류와 사용기간을 고객이 선택할 수 있게 하는 등 대안이 시급하다”고 말했다. 그는 “법인과 대표의 책임을 묻는 수위도 너무 낮고 실질적인 처벌도 힘들었다”며 “단지 사퇴에서 끝나는 것이 아니라 법인과 함께 법적인 책임을 질 수 있게 바꿔야 한다”고 말했다.
강서구 더스쿠프 기자 ksg@thescoop.co.kr

저작권자 © 더스쿠프 무단전재 및 재배포 금지

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음