동영상
▷ 한수진/사회자:
정부가 오늘 카드사 정보 유출과 관련한 재발 방지 대책을 발표할 예정입니다. 얼마나 내실 있는 대책이 담길지 주목되는데요. 현재 국민들, 보이스피싱이나 스미싱 같은 2차 피해에 대해서도 걱정 많이 하고 계시죠. 2차 피해 가능성 얼마나 되고 더불어 지금 필요한 대책은 무엇인지 전문가 연결해서 자세히 짚어보도록 하겠습니다. 먼저 고려대 정보보호대학원 김승주 교수와 이야기 나눠보도록 하겠습니다. 교수님 안녕하세요.
▶ 김승주 교수 / 고려대 정보보호대학원:
안녕하십니까.
▷ 한수진/사회자:
일단 교수님의 개인 정보는 안녕하세요?
▶ 김승주 교수 / 고려대 정보보호대학원:
아뇨, 안녕하지 못하고요. 저는 한 16개 정도 유출되었습니다.
▷ 한수진/사회자:
16개나, 그럼 걱정 좀 되시겠어요?
▶ 김승주 교수 / 고려대 정보보호대학원:
네, 조금 걱정되고 있습니다.
▷ 한수진/사회자:
지금 보면, 보이스피싱이나 스미싱 같은 2차 피해가 걱정인데요. 가능성 어떻게 보세요?
▶ 김승주 교수 / 고려대 정보보호대학원:
그렇죠, 지금 이번 사건으로 인해서 발생할 수 있는 문제가 크게 2가지인데요, 일단 1차적인 피해로는 유출된 개인 정보를 이용해서 부정사용을 통해 금전적인 피해를 입히는 게 하나 있고요. 2차적인 피해로는 스팸 문제나 보이스피싱, 스미싱 같은 것을 통해서 2차적인 피해를 일으킬 수 있는데요. 사실은 이런 스팸 문자나 보이스피싱이 앞으로 더 큰 어떤 걱정거리가 되지 않을까 싶습니다.
▷ 한수진/사회자:
이게 더 큰 걱정거리다? 지금도 보면 사기 문자 받았다는 분들 많고 그런 피해 사례가 속속 보고가 되고 있는데요. 그런데 왜 정부나 카드사들은, 유출된 정보 모두 회수했다, 안심해라, 범죄에 악용되지 않을 것이다, 이런 말을 하는 걸까요?
▶ 김승주 교수 / 고려대 정보보호대학원:
이게 사실은 이런 큰 사고가 발생하면, 우리나라 정부나 해당 업체들은 국민들을 안심시키는데 포커스를 맞추어서 말을 하게 됩니다. 그런데 지금 이번에 신용 정보회사 KCB(코리아크레딧뷰로)를 통해서 어떤 개인정보가 유출되기 시작한 시점이 2012년 10월부터입니다. 그리고 유출되었다는 것이 발견된 것은 1년이 지나서 발견이 되었거든요. 그럼 1년이 지나서 발견이 되었는데 과연 그 정보가 다른 사람의 손에 넘어가지 않았다고 단정 지을 수 있는가, 그거는 조금 더 생각해봐야 할 것 같습니다.
▷ 한수진/사회자:
카드 뒷면에 있는 CVC와 비밀번호 유출되지 않으면 안전하다고 하는데 이것도 아닌가요?
▶ 김승주 교수 / 고려대 정보보호대학원:
예, 지금 여러 언론 보도를 보면요. CVC와 비밀번호 없이도 홈 쇼핑이라던가 각종 배달 업체, 또는 아마존 같은 해외 직구매 사이트 등에서는 카드 번호와 유효기간만 알면 결제가 가능한 곳이 많다는 보도가 나오고 있습니다. 그리고 실제로 인터넷 커뮤니티와 소비자 단체에도 2차 피해를 주장하는 민원이 속속 접수되고 있는 실정입니다.
▷ 한수진/사회자:
그러면 정부나 각 카드사가 제대로 했어야 되면 어떻게 대처 했어야 되나요?
▶ 김승주 교수 / 고려대 정보보호대학원:
이 부분은 사실 아쉬운 점이 굉장히 많은데요, 현재 우리 카드사가 내놓는 대책들은 굉장히 수동적인 대책들입니다. 정보가 유출되기 시작할 때부터 그것이 발견될 때까지 1년 이상 지났기 때문에 일단 이런 사고가 났고, 일단은 이런 문제가 발생했으면 사용자가 신청을 하던 안 하든 일단 카드를 전부 다 교체 발급해주었어야 합니다. 실제로 외국은 그렇게 하고 있고요.
▷ 한수진/사회자:
아, 외국은 그렇게 하고 있고요.
▶ 김승주 교수 / 고려대 정보보호대학원:
네, 외국에 유사 사례가 발생했던 경우에는 사용자가 신청을 하지 않아도 일괄적으로 재발급해준 사례가 있습니다.
▷ 한수진/사회자:
그런데 지금 우리는 그렇게 하고 있지 않죠. 직접 가서, 홈페이지 접속해서 정보 제공 동의하고 확인도 해야 하고, 유출되었는지, 카드 재발급도 직접 신청해야 하고, 수수료도 내야 한다고 하죠. 선진국 같은 경우는 정말 소비자 중심으로 이렇게 움직이고 있는데 이런 번거로운 절차를 우리는 다 소비자가 떠안고 있는 셈이고요. 그런데 교수님 근본적인 대책이 뭘까요, 이게 해킹으로 뚫린 것도 아니고 보안 업체 직원이 USB에 담아서 유출한 것인데 어떻게 막아야 할까, 이런 이야기들 많이 해요, 근본적인 대책이 있을까요?
▶ 김승주 교수 / 고려대 정보보호대학원:
많은 분들이 내부자에 의한 것은 해킹이 아니라고 생각 하시는 경우가 많습니다. 그런데 해킹은 외부자에 의해서 발생될 수도 있고 내부자에 의해서 발생될 수도 있습니다. 그런데 전 세계적으로 트렌드가 내부자에 의한 정보 유출이 많이 발생하고 있고요. 실제로 미국이나 외국 같은 경우에는, 내부자에 의한 해킹은 어떻게 막을 것인가, 하는 것에 집중해서 기술 개발도 하고 대책도 세우고 있습니다. 그래서 우리나라도 곧 그런 대책을 마련해야 할 것 같습니다.
▷ 한수진/사회자:
가령 어떤 대책이 있을 수 있을까요?
▶ 김승주 교수 / 고려대 정보보호대학원:
일단은 기술적인 대책으로는 내부자의 어떤 위협을 조기 탐지할 수 있는 시스템을 구축해야 할 것이고요. 그 다음에 어떤 암호화 기술 같은 것을 개발해서 그것들을 설치하는 그런 일들이 있어야 할 것이고요. 그 다음에 일단 중요한 것은 내부자의 의식 제고 교육 같은 것이 수반되어야 하는 것이 필요할 것 같습니다.
▷ 한수진/사회자:
그리고요, 정부가 오늘 발표할 대책을 보면요. 과도한 정보 요구의 관행에 대해서도 좀 재검토 하겠다, 하는 이야기가 있을 것으로 알려졌는데 이것도 꼭 필요하겠죠?
▶ 김승주 교수 / 고려대 정보보호대학원:
그렇죠, 우리나라 같은 경우는 계열사끼리 너무 많은 정보를 공유하고 있거든요. 그래서 어떤 계열사끼리 정보 공유를 막는다던가, 아니면 카드를 폐기 시키는 즉시 개인 정보를 삭제한다던가, 주민등록번호를 요구하지 않는 다던가 하는 대책들은 꽤 바람직한 것으로 보입니다.
▷ 한수진/사회자:
이번에도 보니까 단순히 해지만 해서는 정보 삭제가 안 된다고 하니까요. 이런 문제도 큰일이네요. 교수님 오늘은 여기까지 말씀 듣도록 하겠습니다.
이어서 개인정보 유출피해에 대한 소송 움직임 계속해서 알아보도록 하겠습니다. 소송을 준비 중인 이흥엽 변호사 전화로 만나봅니다, 변호사님 안녕하세요.
▶ 이흥엽 변호사:
안녕하세요.
▷ 한수진/사회자:
변호사님도 개인정보 유출되셨어요?
▶ 이흥엽 변호사:
네, 저도 15개 정도가 유출된 것 같습니다.
▷ 한수진/사회자:
소송에도 참여하셔야겠네요.
▶ 이흥엽 변호사:
네, 저도 원고로 들어가고 있습니다.
▷ 한수진/사회자:
지금까지 소송에 참여하겠다고 의사를 밝히신 분, 몇 분이나 되나요.
▶ 이흥엽 변호사:
네, 한 11,000명 정도 되고요, 1만 명을 넘어섰고 저도 깜짝 놀랐습니다. 첫날 100명, 다음날 600명, 그 다음날 3,300명 어제는 한 6,900명, 기하급수적으로 늘어나고 있습니다.
▷ 한수진/사회자:
변호사님, 왜 이런 소송이 필요하다고 생각하세요?
▶ 이흥엽 변호사:
그간 정보 유출에 대해서 감독 기관에서 경고 정도의 솜방망이 대책 정도로 끝났고 그럼에도 불구하고 계속 정보 유출이 되풀이 되어 왔습니다. 유출 되도 금융 회사 차원에서 신용 정보법과 그 시행령에 따라서 과태료 600만 원만 내면 면책해 주고 있고 또 금융 지주회사 같은 경우는 법적으로 자회사들하고 정보 공유를 법적으로 허용하고 있습니다. 따라서 법적으로 그렇게 되어 있다 보니 아무런 윤리적인 의식이 없는 것 같고요. 또 금융 지주회사 같은 경우는 자회사 정보를 교환하다가 관련해서 임원급 고객 정보 관리인을 선임하고 고객 정보 취급 방침을 정하도록 되어 있는데 정부 관리인 일은 소홀하더라도 1천만 원 정도의 과태료 부과정도 뿐이고 또 그런 어떤 관행적이고 미약한 관리 때문에 지금 1천만 명 이상의 국민들의 정보가 누출되었습니다. 이건 거대 자본의 횡포이고 유출한 정보공유 라고 생각합니다. 이번 같은 경우에는 신한 카드나 삼성 카드 같은 경우에는 고객 정보를 암호화해서, 누출되더라도 아무 문제없는 그런 상황이 되었는데 이번 같은 경우는 외주 직원이 USB로 개인들의 정보를 훔쳐가는 어떤 그런 정도로 정보를 허술하게 관리했습니다.
▷ 한수진/사회자:
은행별로도, 금융기관별로도 이렇게 차이가 있군요. 롯데카드 같은 경우는 지난 국감에서 암호화 문제로 지적도 받았다고 해요. 암호화 안 되어서 관련된 지적을 받았는데도 대책을 세우지 않았다, 그런 보도가 있네요.
▶ 이흥엽 변호사:
네.
▷ 한수진/사회자:
우리 기업들은 그런 면에서 보면, 정보 보안에 대해서 쓸데없는 비용이라고 생각하는 경향이 있는 것 같고, 그런 이유 중 하나는 사건이 발생해도 과태로 600만 원만 내니 별로 체벌이 대단하지 않아서 그런 것 같은데요. 오늘 정부 대책 중 보면 지금 과태료를 50억 원까지 최대 올릴 수 있는 징벌적 과징금을 부과한다는 대책도 있는 것으로 알려졌는데 이 정도면 충분할까요, 변호사님?
▶ 이흥엽 변호사:
50억도 약한 것 같습니다. 개인들이 겪고 있는 정신적 고통은 50억 정도로는 안 된다고 생각 됩니다.
▷ 한수진/사회자:
그러면 이번에 카드사 상대로 어떤 것을 요구하시는 건가요?
▶ 이흥엽 변호사:
제가 카드사 상대로 요구하고 있는 것은 개인정보를 자신들의 장사를 위해서 이용하다가 지금 같은 경우는 1천만 명 이상 국민들에게 고통을 주고 있고 또 관리 소홀로 인한 정보 누출로 인해가지고 국민들이 거의 집단적인 공포감에 젖어 있습니다. 그렇게 느끼는 정신적 고통에 대해서 배상을 해달라는 그런 이야기입니다.
▷ 한수진/사회자:
그러면 위자료를 청구하시는 것일 텐데 얼마씩 요구하시는 건가요?
▶ 이흥엽 변호사:
이전에 하나로 텔레콤 집단소송 같은 경우는 승소 판결로 난 것이, 1인당 20만 원 정도였습니다. 지금 저희가 청구할 것은 40~50 만 원 정도로 청구할 겁니다.
▷ 한수진/사회자:
그런 사례가 있었고요. 그런데 말이죠, 지금 금전적인 피해가 실제로 발생하지 않은 이상 카드사 상대로 한 소송에서 승소할 가능성 높지 않다는 그런 의견도 많던데요. 지금 승소 가능성 어느 정도로 보세요?
▶ 이흥엽 변호사:
그거는 법조계의 보수적이고 친기업적인 성향, 혹은 천문학적인 피해 배상이 발생할 것이라는 그런 염려 때문에 그러는데 제가 보기에는 가능성은 50% 이상 될 거라고 생각합니다.
▷ 한수진/사회자:
50% 이상, 그래도 생각보다 높지 않네요?
▶ 이흥엽 변호사:
지금 인식 자체가 그런 어떤 정보 유출에 대해서 2차적인 금전적인 피해가 없으면 없다고 보는 게 조금 보수적이고, 만약 피해 배상을 인정해준다고 하면, 제대로 인정해준다고 하면 기업이 외국 같은 경우는 파산하는 경우도 있습니다.
▷ 한수진/사회자:
그렇군요. 우리의 역대 소송으로 보면 일단 정보가 조기 회수가 되었다, 피해가 없었다 하고 제대로 배상을 안 해주었던 그런 사례가 많았다는 말씀이시고요.
▶ 이흥엽 변호사:
네.
▷ 한수진/사회자:
그리고 해킹에 대한 책임도 별로 인정을 안 하고 있던데요?
▶ 이흥엽 변호사:
지금까지 옥션 등 해킹으로 인한 피해의 경우에는 거의 책임을 인정하지 않았습니다. 왜냐하면 해커의 수준이 국내 보안기술 수준의 능력을 뛰어넘었다, 그러니까 기업이 어떤 보안을 하고 싶어도 더 이상 할 수가 없다, 그러니까 천재지변 정도라고 생각하기 때문에 거의 법조계에서는 기업들에게 면책을 주었습니다.
▷ 한수진/사회자:
해킹을 거의 천재지변의 수준이다, 이렇게 판단을 해서.
▶ 이흥엽 변호사:
네, 그렇죠. 조금 납득하기는 어렵습니다.
▷ 한수진/사회자:
이런 정도는 기업들로서도 관리할만한 상황이 아니었다, 이렇게 판단했다는 거군요. 그런데 외국 같은 경우는 그럴 경우에도 당연히 기업에게 책임을 물었던 거죠?
▶ 이흥엽 변호사:
그렇죠, 징벌적 손해배상이 있습니다.
▷ 한수진/사회자:
이런 것에 비해서는, 개인정보 유출피해와 관련해서는 외국이 우리보다 훨씬 더 엄격하다고 봐야겠네요?
▶ 이흥엽 변호사:
네. 기업의 어떤 행동이나 이런 것에 대해서 미국은 징벌적 배상이라는 제도가 있기 때문에 단순히 한국같이 계산기로 두드려서 손해배상을 계산하지 않고, 이것으로 인해서 사회적인 파장이나 개인들의 고통 이런 것들을 굉장히 높게 평가하기 때문에 외국 같은 경우에는 이런 것으로 파산하는 기업이 생기는 경우도 있었습니다.
▷ 한수진/사회자:
여전히 어쨌든 이번 소송 같은 경우는 이게 개인 정보 유출로 인한 피해인지 가려내기가 어려운데다가, 이런 보수적인 관행 때문에 소송에 대해서는 여전히 여러 가지 예상이 나오고 있는 상황인 것 같습니다. 지금 소송 결과는 언제쯤 나오리라고 보세요?
▶ 이흥엽 변호사:
1심은 내년 정도는 나올 수 있다고 생각합니다.
▷ 한수진/사회자:
네, 알겠습니다, 저희가 그 결과를 좀 지켜보겠습니다. 오늘 말씀 여기까지 듣겠습니다, 고맙습니다. 지금까지 카드사 개인정보 유출 위자료 소송을 준비 중인 이흥엽 변호사와 말씀 나눴습니다. 감사합니다.