[서울파이낸스 나민수기자] 최근 카드 정보유출에 연루된 카드사들에 대한 제재가 결정되는 등 한달이상 진행된 카드사태가 어느정도 진정국면에 접어든 모습이다.
하지만 국회 정무위원회의 국정감사가 진행될수록 이번 카드사태는 사고가 아닌 '인재'였다는 점이 속속 드러나고 있다.
정무위 소속 위원들의 발표자료 등을 살펴보면 코리아크레딧뷰로(KCB)는 계약직원에게 수천만건의 카드사 고객정보 접근권을 부여, 이번 사태 발생 원인을 제공했다.
특히, 주범인 전 KCB 박모 차장이 2012년부터 해당 카드사들에서 1억건의 개인정보를 빼냈지만 직원에 대한 감사는 물론 해당 사실조차 파악하지 못하는 등 취약한 보안의식을 보여줬다.
카드사들 역시 마찬가지다. 2011년 금융당국이 '금융회사 IT보안강화 종합대책'을 발표했지만 KB국민·롯데·NH농협 등 카드 3사는 FDS(부정사용방지시스템) 업그레이드 아웃소싱 작업을 하면서 규정상 시행해야 할 위탁업무에 대한 보안점검 및 내부 감리를 실시하지 않았다.
여기에 고객정보 암호화 처리가 미흡했던 것은 물론 정보보호를 위한 예산집행도 정부 가이드라인 수준에 맞추고 있는 실정이다.
종합해보면 이번 사태는 결국 어느 한곳의 잘못보다는 KCB와 카드사 모두 취약한 보안의식으로 인해 발생한 '인재'였다는 점을 보여준다.
그런데도 이들의 사후대책을 살펴보면 자신들의 보안의식 개선보다는 피해자라는 데 초점이 맞춰져 있는 듯 하다.
양측 모두 시스템 접근을 막는 등 외부 통제에 급급할 뿐 내부 단속을 위한 뚜렷한 대책은 보이지 않는다. 정부와 국민들에게 보여주기 위한 전시성 대책이라는 지적이 나오는 것도 이와 무관치 않다.
사실 그간 정보유출 사태의 경우 시스템의 문제라기보다 대부분 내부 보안에 구멍이 뚫려 발생했다. '모든 칼을 막는 방패는 세상에 없다'라는 말처럼 정보유출 가능성은 언제나 열려 있는 셈이다.
내부 소행이 아니라는 이유로 보안교육에 소홀함이 있어서는 안되는 것도 이 때문이다. 모든 금융사들이 舟中敵國(주중적국)의 자세를 갖춰야 제2, 제3의 정보유출 사고를 막을 수 있을 것이다.
