게시판

서명하는 순간 나는 발가벗겨진다

tkaudeotk 2014. 1. 27. 17:38


[한겨레]

온 국민의 개인신용정보가 탈탈 털렸다. 

신용정보란, 내가 대출을 받을 때 금리 수준을 결정짓는 데 영향을 미치는 정보다. 

누구의 정보인지 알아야 하므로 주민등록번호와 이름 등 개인식별정보까지 포함된다. 

KB·NH·롯데 등 3개 신용카드사에서 1억400만 건의 개인신용정보가 고스란히 유출되는 초유의 사태가 벌어졌다. 

주민등록번호, 휴대전화 번호는 기본이고, 신용정보 주체인 '나'도 몰랐던 신용등급부터 한참 쓰지 않은 카드번호, 

외우지도 못하는 결제계좌, 주거 상황, 결혼 여부 등 다양한 정보가 빠져나갔다. 

금융권은 개인 식별이 가능한 신용정보 공유가 가장 광범위하게 일어나는 분야다. 

신용카드·대출·렌털 서비스 등 '신용' 거래가 늘어나면서 개인신용정보를 모아모아 평가하고 조회하는 과정이 필요하다.

 그렇다면 내 정보는 누가, 어디서, 어떻게 활용하고 있을까. 약관을 살펴보는 것만으로는 명확하지 않았다. 

금융·보안·정보인권 전문가들의 도움을 얻어 내 정보를 찾아나섰다. 

결과는?

 행방불명. 금융기관을 이용하는 순간, 개인정보는 더 이상 '개인'의 것이 아니었다.




경로1


카드사와 위탁·제휴업체, 은행·보험사

지난해 말, 예금을 하기 위해 ㄱ은행을 찾았다. 이자율이 연 3%에도 못 미쳤다. 
창구 직원의 유혹은 달콤했다. 
"ㄱ카드를 발급하시면 우대금리가 적용돼요." 카드 발급 신청서에 이름,
 주민등록번호, 주소, 휴대전화 번호, 전자우편, 결제계좌 번호 등을 적어넣었다.
 직원이 알려주는 개인신용정보 제공 '동의' 항목에 순순히 체크를 했다. 
신용카드를 사용하려면 카드사뿐 아니라 수많은 업체에 내 정보를 주어야 했다. 
카드사는 카드 및 우편물 배송, 거래 승인, 매출전표 보관, 결제정보 문자메시지, 전산망 구축·유지·보수, 
콜센터, 대출 모집 등 광범위한 분야에서 수많은 위탁업체에 '아웃소싱'을 준다. 
그러니까 신용카드를 받아든 순간 이 모든 위탁업체에 내 개인신용정보가 전달된다. 
위탁업체들이 또다시 서비스 재위탁을 해도 소비자가 알기는 쉽지 않다. 
직원이 권유한 신용카드엔 유통·영화·외식업체 할인서비스와 항공사 마일리지 적립 기능이 있었다. 
부가서비스를 제공하는 제휴사에도 개인신용정보가 넘어간다. 
몇몇 군데에는 정보를 주고 싶지 않았지만, 한 군데라도 정보 제공에 '동의'하지 않으면 카드 발급이 되지 않는다고 했다.

ㄱ카드사로 들어간 개인신용정보는 '나도 모르게' 또다시 움직인다. 
ㄱ금융지주사 자회사인 은행·보험·증권회사로 제공된다. 이렇게 은행·보험·카드 계열사끼리 주고받아 
한데 뭉쳐진 개인정보는 고객 분석과 영업·마케팅에 활용된다. 
금융지주회사법상 금융지주회사 자회사끼리는 '동의' 없이도 개인신용정보를 공유할 수 있다.
 이들이 나눠가지는 건, 주민등록번호뿐만이 아니다. 
신용등급, 자산, 수익, 예금 잔액, 소유 차종 등 사용할 수 있는 그 모든 것이다. 
ㅎ은행의 개인신용정보 수집·이용·제공 동의서를 보면 가족 사항, 거주 기간, 세대 구성, 결혼 여부 제공을 선택적 정보로 분류하고 있다. 
'동의'해주지 않아도 되는 정보다. 무심코 '동의'를 해준다면? 은행 안팎을 넘어 타깃 마케팅 정보로 활용될 가능성이 크다.

위탁업체·제휴사·금융계열사 등 수십~수백 개 업체로 넘어간 내 개인신용정보는 끝내 안녕하지 못했다. 
이번 개인정보 유출 사고는 '신용카드 부정사용 방지시스템'(FDS) 구축 작업 과정에서 일어났다. 
해당 시스템을 구축하고 있던 위탁업체는 민간 신용조회사(CB) 코리아크레딧뷰로(KCB)였다. 
FDS란, 신용카드 등 금융서비스 사용 정보를 한데 모아 패턴을 분석한 뒤, 부정 사용 의심 거래를 모니터링하는 것이다. 
개인의 사용 패턴을 분석하기 위해선 고객 주거지, 평소 상주하는 장소, 과거 승인 내역을 두루 따져봐야 한다.
 신용카드 결제 위치나 내역 정보가 활용됐을 터다. 지난해 여신전문금융업법이 개정되면서 
카드사는 빅데이터를 활용한 컨설팅 서비스를 할 수 있게 됐다. 
그러나 식별 가능한 빅데이터를 활용하는 방안은 전세계적으로 정보인권 침해 논란을 일으키고 있다. 
익명을 요구한 보안전문가는 금융권의 개인정보 보호 노력이 미흡하다고 지적했다.

"개인신용정보를 들여다보는 사람들에 대한 통제가 약하다. 
은행 내에서도 일부 직원들에게만 정보 접근 권한을 주지만, 이들이 어떻게 활동하는지 사후 모니터링이 이루어지지 않는다. 
금융기관 안팎으로 나가고 들어오는 정보가 너무 많아 사용 '목적'이 끝난 뒤 삭제 여부를 점검하는 작업도 서류 검토만으로 끝나는 경우가 많다. 
위탁업체로 나간 개인신용정보의 관리·점검을 하긴 하지만, 업체 수가 워낙 많아 쉽지 않다." 
금융기관에 제공한 정보뿐 아니라 위탁업체·제휴사로 넘어간 정보 역시 오랫동안 지워지지 않은 채 숨 쉬고 있을 것이다.

흘러나간 개인신용정보는 보이스피싱이나 예금 인출, 카드 결제에만 이용되는 건 아니다. 
대출을 받을 수 없을 만큼 신용등급이 낮은 이들을 겨냥해 '통대환 대출' 같은 불법 대부업을 할 수도 있다.
 통대환 대출이란, 대출금을 먼저 갚아주고 제1·2금융권에서 대출을 받게 해준 뒤 높은 수수료를 챙기는 것이다.

경로2

은행연합회·여신금융협회·민간CB

카드 발급을 신청하면 카드사는 '신용정보' 제공 및 조회에 돌입한다. 
외환위기 이후 카드빚 등 가계부채가 증가하자 개인신용평가 수요가 커졌다. 
금융기관들은 자사와의 거래 실적, 자체 수집 정보, 공공 정보뿐 아니라 신용정보집중기관이나 민간 CB가 수집·제공하는 신용정보도 활용하고 있다. 
공제조합·할부판매업자·유통사업자·중소기업·전기통신사업자 등도 고객의 '동의'만 받으면,
 금융거래를 통해 생성된 개인신용정보를 제공하고 이러한 기관이 보유한 신용정보를 이용할 수 있다.

개인신용정보를 수집해 평가하는 기관은 크게 세 종류로 나뉜다. 
국내 모든 금융기관과 국세청·법원 등 공공기관으로부터 
개인신용정보를 받게 돼 있는 종합신용정보집중기관은 '전국은행연합회'(www.kfb.or.kr)다. 
또한 카드·생명보험·손해보험 등 각 금융업 회원사들이 모여 서로 신용정보를 주고받는 개별신용정보집중기관이 있다. 
'여신금융협회'(www.crefia.or.kr), '생명보험협회'(www.klia.or.kr), '손해보험협회'(www.knia.or.kr) 등이다. 
금융감독원의 허가를 받고 활동하는 민간 CB는 금융기관·대부업체·공공기관 정보 등을 수집해 신용평가를 한다.
 현재 민간 CB는 코리아크레딧뷰로와 나이스신용평가 두 군데다. 민간 업체가 CB 업무를 하려면 금융감독원의 허가가 필요하다. 
코리아크레딧뷰로는 2005년 은행·카드·보험사 등 19개 대형 금융회사가 공동으로 출자해 설립됐으며, 
국내 다수의 금융사가 고객이자 주주다. 
그러니까 금융지주회사는 자체 계열사, 협회, 민간 CB 등을 통해 각종 개인신용정보를 쓸어담고 있는 셈이다.

카드사에서는 은행연합회·여신금융협회와 민간 CB 세 종류의 기관을 한꺼번에 나열해놓고 개인신용정보 제공·조회 '동의'를 받았다. 
그러니까 금융서비스 이용자들의 개인신용정보는 이런 외부 기관에 고스란히 전달돼 공공기관에서 건너온 정보와 합쳐진다. 
전 국민 식별이 가능한, 주민등록번호는 이러한 정보를 쉽게 결합시킬 수 있게 돕는다. 
민간 CB사를 방문해 개인신용보고서를 떼어보았다. 
2004년·2010년에 발급한 신용카드와 '우대금리'에 낚여 
지난해 말 발급한 신용카드가 '신용개설정보'에 쓰여 있었다. 신용등급도 매겨져 있었다.

이윤을 추구하는 민간 CB가 보유한 정보는 은행연합회 자료보다 훨씬 다양하고 업데이트도 빠르다. 
방대한 정보를 가진 이들 기업은 방송통신위원회로부터 
아이핀 발급 및 실명확인 기관으로 지정돼 서비스 수수료 수익을 올리고 있다.
 민간 CB는 수집한 개인신용정보를 기반으로 월소득 대비 부채 상환 비율 등 
다양한 항목으로 재가공해 기업들에 판매하는 것으로 알려져 있다. 
분양하는 건설업체, 후불 요금제 및 전화번호 단말기를 할부로 판매하는 이동통신사, 
결혼정보업체 등도 고객 '동의'를 받아 신용조회 서비스를 이용하고 있다.

이번에 유출 사고가 난 금융기관뿐 아니라 신용정보집중기관과 민간 CB에도 국민 대부분의 개인신용정보가 집적돼 있다. 
관리가 소홀할 경우 얼마든지 개인정보가 유출될 수 있다. 
이들 기관의 개인정보 보안 수준은 제1금융권보다 약하다고 평가된다.
 어느 범위까지를 신용정보로 보고 수집·활용하는 게 바람직한지 사회적 논의도 제대로 이뤄지지 않았다. 
2년 전, 신한은행이 학력을 대출 금리를 차별하는 신용정보로 활용한 것으로 밝혀져 논란이 일었다. 
동남아에서는 중국계 신용이 평균적으로 우량하지만, 금융기관이 이러한 정보를 수집하진 않는다. 
현재 '신용정보의 보호 및 이용에 관한 법률'(신용정보법)에 따라 수집·조사 및 처리가 제한되는 정보는
 정치적 사상, 종교적 신념 및 신용정보와 관계없는 사생활에 관한 정보로 정의된다. 
이번에 유출된 개인정보 가운데는 결혼 여부도 포함돼 있었다. 
수집과 이용이 제한돼야 하는 사생활 정보다. 신용정보법은 신용정보를 보호하기 위한 법이라기보다는 '활용'법이다.

금융권 외부 기관이 적극 개입해야 한다

이름을 밝히길 꺼린 금융업계 관계자는 "은행에 방문했다는 정보, 혹은 대출 상담을 했다는 정보가 과연 보호되고 있을까.
 대출 조회만 해도 다음날 스팸 문자가 날아오는 상황이다. 법으로 보호하는 신용정보의 범위를 넓혀야 한다"고 지적했다. 
체크카드 사용자나 대출금보다 높은 금액의 담보를 설정한 이들에게도
개인신용정보 조회에 '동의'할 것을 요구하는 경우가 허다하다.
 금융서비스의 성격에 따라 필요한 신용정보를 최소한으로 수집하려는 노력이 없는 셈이다. 
"한국이 선진국이라면 개인신용정보가 어디서 어떻게 공유되고 있는지는 쉽게 알 수 있어야 한다. 
금융감독원이 제구실을 하지 못하므로, 
국가인권위원회나 개인정보보호위원회 등 금융권 외부 기관이 신용정보 관리 문제에 적극적으로 개입할 필요가 있다." 
금융업계 관계자의 일침이다.

박현정 기자saram@hani.co.kr