본인인증체계 '구멍'.. 누군가 내가 된다

주민번호·주소 등 거의 노출.. 본인확인시스템 근간 흔들새 인증방식 도입도 쉽잖아

"고객님 주민등록번호 뒷자리가 어떻게 되나요?" "서울 용산구, 나머지 주소는 어디입니까?" "결제은행은 어디인가요?"

기업의 고객 서비스센터에 전화를 하면 흔히 거치는 본인인증 과정이다. 최근 카드사에서 주민번호와 주소, 결제계좌 등 개인정보가 대거 유출돼 본인인증 체계가 위협받고 있다. 이번에 유출된 개인정보 8000만건이 불법 유통된다면 국내 대부분 기업의 고객서비스 인프라가 일거에 붕괴될 수 있다. 하지만 금융당국은 "2차 피해 발생 가능성은 희박하다"는 검찰 수사발표를 반복 인용하며 사태 축소에만 매달리고 있다.

이경호 고려대 정보보호대학원 교수는 26일 "금융사 고객정보가 대거 유출돼 대부분 기업이 고객 본인인증 방식을 다 바꿔야 할 처지에 놓였다"며 "기초 정보가 다 유출돼 다른 정보를 보강한 새 인증방식 도입조차 어려운 상황"이라고 밝혔다. 그는 "모바일 인증 등 보완책을 도입한다 해도 사회적 비용이 상당할 수밖에 없다. 영세 중소기업이나 소상공인에게 적잖은 부담이 될 것"이라고 밝혔다.

은행과 카드사 같은 금융사는 물론이고 이동통신사, 항공사 등 대부분 기업과 동네 슈퍼마켓조차 주민번호나 전화번호, 주소 등 일부 개인정보를 확인하는 방식으로 고객 본인인증을 한다.

KB국민·NH농협·롯데 등 카드 3사에서 유출된 정보에는 고객 이름과 주민번호, 전화번호, 주소, 카드번호 및 유효기간(국민 제외), 결제계좌, 타사 카드 정보(농협 제외) 등이 대거 들어 있다. 누군가 이 정보를 손에 넣으면 기업의 고객 본인인증망을 뚫을 수 있다는 뜻이다. 예컨대 항공사에 전화를 걸어 다른 사람의 이름으로 본인인증을 한 뒤 항공 예약을 바꾸거나 마일리지 사용내역 등을 조회할 수 있다. 단순히 신용카드를 위·변조할 수 있느냐의 문제를 넘어 국내 고객서비스 인프라를 한순간에 무력화할 수 있다.

정부는 유출된 정보가 외부로 흘러나가지 않았다고 강조한다. 검찰은 "불법 수집된 원본 파일과 1차 복사 파일 등을 압수해 외부 유출은 일단 차단된 것으로 추정된다"면서 '추정' '일단(시점)' 등의 표현으로 '전제 조건'을 달았다. 금융위원회나 금융감독원은 이를 일부 인용해 "외부 유출과 2차 피해는 없는 것으로 확인됐다"고 강조하고 있다.

그러나 농협카드는 1년 전, 국민카드는 6개월 전 정보 유출이 발생하는 등 상당한 기간이 지난 점 등을 감안하면 불법 유통 가능성을 전제해야 한다고 보안 전문가들은 지적한다. 정부가 2차 피해를 부인하면서도 실제로는 수사기관과 합동으로 유출정보 유통을 집중 단속하기로 한 것도 이 같은 우려와 무관치 않다.

익명을 요구한 보안 전문가는 "KCB 직원이 1년 동안 고객정보를 보관만 하고 있었다는 주장은 난센스"라며 "검찰은 파면 팔수록(수사할수록) 국가 혼란이 오는 수사 딜레마에 빠졌고, 금융당국은 국가 재난급 파장이 알려질까봐 쉬쉬하기에 급급한 형국"이라고 말했다.

<홍재원 기자 jwhong@kyunghyang.com>