고정 헤더 영역
상세 컨텐츠
본문
2014년 초 대한민국을 혼란속에 몰아넣은 개인정보 유출사건이 발생했었다. 개인 및 법인의 신용정보를 관리하는 코리아크레딧뷰로(KCB)의 박모 차장이 위탁관리하던 카드회사들의 개인정보를 불법 유출한 것이다. 유출된 개인정보만 1억건을 넘었으며, 카드사와 은행은 카드재발급을 원하는 사람들이 몰리면서 업무가 마비될 지경이었다. 그런데 카드사 개인정보 유출의 중심에 있던 코리아크레딧뷰로(KCB)가 2014년 8월 7일부터 시행된 마이핀 발급사업자로 지정되었다. 불과 반년 전에 역대급 개인정보 유출사고를 낸 업체가 어떻게 마이핀 발급사업자로 지정되었는지 도무지 이해할 수가 없다.
필자가 KCB가 마이핀 발급사업자로 지정되었다고 페이스북에 몇 글자 적었더니, 디지털로그를 운영하시는 줄루님께서 관련정부기관에 질의를 통한 취재를 진행했다. 안전행정부 개인정보보호과 주무관, 안전행정부 개인정보보호과장, 방송통신위원회 개인정보보호윤리과장에 던진 질문의 요지는 개인정보유출사건을 일으킨 KCB가 어떻게 마이판사업자로 지정될 수 있느냐와 지정된 이유에 대한 것이었다. 그런데 돌아온 대답을 보면 개인정보를 당당한다고는 믿을 수 없을만큼 보안의식이 결여되어 있었다. 답변의 내용을 간단히 정리하면 'KCB문제의 경우 직원 개인의 범법행위로 KCB는 기술적으로 문제가 없다는 것', '직원 개인의 문제이기 때문에 KCB가 본인확인인증기관을 유지하는데 문제가 없다는 것', '마이핀 서비스의 빠른 보급을 통해 서비스를 안정적으로 운영하기 위해 KCB도 참여하도록 정책을 결정'으로 볼 수 있다. ※ 질문과 답변에 대한 원문은 즐루님의 다음 글을 참고하세요. ☞ 안행부의 마이핀 발급사업자, 금융사 개인정보유출사고 낸 KCB도 지정
그러면 안행부와 방통위의 입장이 무엇이 잘못되었는지 하나씩 살펴보자. 먼저 두 곳 모두 기술적으로 문제가 없고 개인적인 범법행위이기 때문에 KCB의 자격요건에는 이상이 없다고 했다. 이 부분에서 국가기관에서 정보보호를 담당한다는 사람들의 보안의식에 문제가 있음을 알 수 있다. 우리가 보안을 이야기할 때 가장 취약하면서도 큰 문제가 발생하는 부분은 국가기관, 군대, 기업 등 어디에서나 동일하게 인원보안이 뚫렸을 경우이다. 아무리 좋은 보안시스템을 가지고 있거나 외부와 완전히 차단되었다고 하더라도 결국 사람이 못된 마음을 먹으면 소중한 정보가 원하지 않는 곳으로 흘러가는 일은 그리 어렵지 않다. 그래서 기업들은 직원들이 불편을 겪더라도 출퇴근시에 보안검색대를 통과하게 하고, 등록되지 않는 저장장치는 반입을 금지하는 등의 일련의 보안조치를 취하고 있다.
KCB는 보안에서 가장 중요한 인원보안이 뚫린 본인확인인증기관이다. 당장에 인증기관 자격이 박탈되어야 마땅한데 아직까지 인증기관을 유지하고 있는것도 이상한데, 설상가상으로 주민등록번호를 대체해서 사용하기 위한 마이핀 발급사업자로 지정된 것이다. 아무리 기술적으로 문제가 없어도 직원 한 명도 통제하지 못하는 기관에게 어떻게 또다시 우리의 정보를 맡길 수 있는지 참으로 안타까울 따름이다.
다음으로 안정적인 서비스 보급을 위해서 KCB를 참여하도록 했다는 부분 역시 이해할 수 없는 내용이다. 현재 마이핀 발급은 오프라인에서는 전국의 주민센터에서 온라인에서는 공공I-PIN, 나이스평가정보, 서울신용퍙가정보, 코리아크레딧뷰로 4곳에서 가능하다. 그런데 재미있는 사실은 KCB가 발급사업자에서 빠지더라도 초기 빠른 보급을 통해 국민의 편익을 증대시키는데는 아무런 문제가 없다는 것이다. 어차피 오프라인에서 직접 발급을 받기를 원하는 국민이라면 주민센터를 찾아가야 하고, 온라인에서 발급을 원한다면 KCB를 제외하고도 3개 기관이 있기 때문이다. 마이핀 발급업무가 과부하가 걸릴만큼 트래픽이 집중되는 현상이 있는 것도 아닌데, 안행부의 입장은 앞뒤가 맞지 않다. 정말 국민의 편익을 위해 마이핀서비스의 빠른 보급을 원했다면, 주민센터외에 더 다양한 장소에서 발급업무를 담당하는 문제를 고민했어야 할 것이다. 그리고 마이핀 발급은 발급사업자로 지정된 기관들의 스마트폰 어플에서도 가능하기 때문에 서비스의 빠른 보급이나 국민의 편익증대와 같은 말은 KCB의 참여를 정당화 하기 이한 변명으로 밖에 들리지 않는다.
KCB의 마이핀 발급사업자 문제를 정리하면서 KCB가 어떤 회사인지 간단히 살펴보니, 국내 150여개 대부분의 금융회사가 회원사로 참여하고 있는 기업으로 대한민국 개인정보의 70%이상을 보유하고 있다. KCB의 2005년 설립과정도 재미있는데, 그 전까지 인증기관 업무를 거의 독점하다시피한 나이스평가정보를 견제하기 위해서 국민은행, 삼성카드, 우리금융지주, 농협, 신한금융지주 등 대형 금융사들이 공동으로 회사를 새운것이다. 이후 현재까지 광주은행, 삼성생명, 외환은행, 경남은행, 교보생명, 대한생명, 삼성화재, 비자카드, 현대카드, 현대캐피탈 등 총 19개 법인이 주요 주주사로 명시되어 있다. 즉, 국내 굴지의 금융회사들이 모두 참여하고 있어 끈끈하게 연결되어 있기 때문에 특혜를 받고 있는 것은 아닌지 하는 의심을 할 수 밖에 없다.
