개인정보범죄 정부합동수사단(단장 이정수 부장검사)이 지난해 개인정보 대량 유출 사건과 관련, 농협은행과 국민카드, 롯데카드 등 3사를 고객의 개인정보를 제대로 보호하지 않은 혐의(개인정보보호법 위반 등)로 불구속 기소했다고 28일 밝혔다.
이들 회사는 2012~2013년 개인신용정보 전문업체인 코리아크레딧뷰로(KCB)에 '신용카드 부정사용예방시스템(FDS) 모델링 개발' 용역을 주면서 고객 개인정보를 제대로 관리하지 않아 유출되게 한 혐의를 받고 있다.
검찰 조사 결과 농협은행은 고객의 개인정보를 보호하기 위해 '개인정보보호준칙'과 같은 내부 관리 계획을 세웠지만 고유 식별 정보를 암호화하지 않는 등 제대로 관리하지 않은 것으로 드러났다. 외부 용역 직원에게 개인정보 보호 교육을 할 의무가 있음에도 제대로 하지 않고, 보안서약서도 받지 않은 것으로 조사됐다.
국민카드는 '전산정보업무 및 전산정보 보안 업무 지침'을 세웠지만 고유 식별 정보에 대한 암호화를 강제하지 않는 등 관리를 소홀히 한 것으로 밝혀졌다. 외부 용역업체에 고객 개인정보를 제공할 때도 분실과 도난, 유출에 대비한 별다른 조치를 취하지 않은 것으로 조사됐다.
롯데카드 역시 '정보보호규정'이라는 내부 관리 계획이 있었지만 보유 기간이 지난 개인정보를 파기하지 않는 등 고객 개인정보 처리에 소홀히 한 것으로 드러났다. 심지어 외주 용역업체인 KCB 직원들이 들여온 컴퓨터 2대를 전혀 제재하지 않았고, 이동식 저장 장치(USB)로 정보를 빼내는 것을 막는 보안프로그램조차 설치하지 않은 것으로 조사됐다.
이들 회사의 소홀한 관리를 틈타 KCB 직원 박모(39)씨는 USB 등을 이용해 고객 개인정보를 빼낸 것으로 드러났다.
합수단 관계자는 "세 회사 모두 고객 개인정보 유출에 대비한 내부 매뉴얼을 시행하고 있었지만 제대로 지켜지지 않았다"며 "결국 대량의 개인정보가 유출되는 사고를 막지 못했다"고 밝혔다.
