'1.5TB 정보유출' 두고 경찰·금감원 3개월 실랑이…직원 파견으로 해결

서울 여의도에 위치한 금융감독원 전경. 중앙포토

수사 과정에서 압수된 1.5테라바이트(TB, 1TB=1024기가바이트) 규모 외장하드디스크 속 불법 유출 개인정보를 두고 서로 "네가 분석하라"며 실랑이를 벌여온 서울지방경찰청과 금융감독원이 결국 금융위원회의 중재 끝에 합의점을 찾았다. 금감원이 서울청에 직원을 파견키로 하면서다.

15일 금융권 등에 따르면 서울청은 지난해 하나은행 해킹 피의자로 구속된 이모(42)씨를 수사하는 과정에서 1.5TB 용량의 외장하드를 확보했다. 이 외장하드에는 이씨가 국내 현금자동입출금기(ATM)·POS단말기·멤버십 가맹점 등을 해킹해 빼낸 것으로 추정되는 개인정보 데이터 약 61GB가 담긴 것으로 알려졌다.

서울청은 지난 3월 초 금감원에 "이 데이터를 줄테니 이 중 금융정보를 뽑아 회사별로 분류해달라"고 요청했다. 그러나 금감원은 이를 거부했다. 해당 데이터 속에 금융정보와 관계없는 개인정보가 얼마나 들어있는지도 알 수 없고 데이터의 유출 경로가 금융회사인지 아닌지도 정확하게 알지 못한다는 이유에서다. 금감원은 "서울청이 데이터 유출 경로가 금융회사라는 사실을 정확히 확인해주거나 신용카드 등 금융데이터만 골라 주면 이에 대해 조치하겠다"며 맞섰다.

서울지방경찰청. 중앙포토

금감원 요구사항을 충족하지 못한 서울청은 3월 말 금융보안원에 카드사 관계자들을 불러다 놓고 이들에게 데이터 분석 협조를 구했다. 그러나 현장에 모인 카드사 관계자들 역시 모두 이를 거부했다. 주소·계좌·신용카드·멤버십번호 등 민감한 정보가 한데 섞여 있다 보니 대상자의 동의를 구하지 않고 이를 열람하는 것 자체가 신용정보법 위반이라서다. 카드사들은 대신 서울청에 관련 데이터 속 BIN번호(카드 식별번호)를 통해 어느 카드사 정보인지를 골라내는 방법을 알려줬다.

그로부터 두달 반이 지난 현재까지 서울청은 이 데이터 분석을 끝내지 못했다. 유출된 개인정보가 몇 건이나 되는지, 그 중 카드 정보가 얼마나 되는지 확인된 게 전혀 없다. 이에 개인정보가 유출된 고객들이 자칫 추가적으로 전적 피해를 입을 수 있는 것 아니냐는 우려도 제기됐다. 하지만 서울청과 금감원은 여전히 서로에게 데이터 분석 책임을 돌리기 바빴다.

서울청과 금감원 간 네 탓 공방은 결국 금융위원회가 중재에 나서면서 해결됐다. 양 기관은 15일 오후 손병두 금융위 부위원장 주재 아래 회의를 열고, 이 사건에 대한 서울청의 압수물 분석에 금감원이 인력을 파견하는 방식으로 협조하기로 했다. 금감원 직원이 불특정 데이터를 열람·분석하더라도, 파견된 직원이 서울청의 수사 권한 아래서 일한다면 신용정보법 위반 소지를 비껴갈 수 있기 때문이다.

손병두 금융위 부위원장. 뉴시스

금융당국은 이번 정보유출 사건이 2018년 7월 이전에 벌어졌을 것으로 본다. 금융위는 이날 자료를 통해 "2018년 7월 POS단말기가 정보 유출에 취약한 기존의 마그네틱방식에서 정보보안 기능이 크게 강화된 IC방식으로 교체 완료됨에 따라 현재 정보유출이 지속적으로 발생하지는 않는 것으로 보인다"며 "데이터 분석결과를 바탕으로 금융회사 등과 협조하여 부정사용방지시스템(FDS) 가동 강화 등 긴급조치를 시행할 예정"이라고 밝혔다.

또한 "여신전문금융업법 제16조에 따라 해킹·전산장애·정보유출 등 부정한 방법으로 얻은 신용카드정보를 이용한 부정사용은 금융회사가 전액 보상한다"며 "관계기관 간 적극 협력을 통해 필요한 소비자 보호조치 등을 앞으로 신속하게 진행할 것"이라고 강조했다.

정용환 기자 jeong.yonghwan1@joongang.co.kr