클릭 한번에 타사회원정보 조회 가능
주민번호·개인연체잔액 등 한눈에
롯데 발급카드 1270만장 유출건수 2배
비금융 계열사에 개인정보 제공한듯
KB국민카드ㆍNH농협카드ㆍ롯데카드 3개 카드사의 정보유출이 전대미문의 초대형 사고로 이어질 수 있었던 가장 큰 이유는 신용카드사와 금융그룹 계열사들의 만성적인 정보공유 행태 때문이다.
따라서 이번 사고가 어떤 회사에서 터졌는지 중요하지 않았을 것이란 분석도 나온다. 어차피 군소 카드사라 할지라도 대형 카드사와 정보가 공유돼 있기 때문에 어디서든 일단 유출만 되면 국민 대다수의 피해로 이어지는 게 정해진 수순이었다는 지적이다.
20일 한국여신금융협회에 따르면 카드사 간 회원정보는 월 1회씩 갱신 후 공유되고 있다. 전국은행연합회가 우선 신용카드 2개 이상 소지 회원에 대한 식별정보를 매월 10일 여신협회에 제공한다.
이틀 후 여신협회는 이 정보를 카드발급사에 준다. 그러면 카드사는 해당 회원에 대한 전체 정보를 매월 20일 여신협회로 다시 보낸다. 각사에서 정보를 받은 여신협회는 이를 취합해 전체 카드사와 공유한다.
뿐만 아니다. 카드사들은 실시간으로 언제든지 타사 회원의 정보를 조회할 수 있다. 복수카드 정보 담당 직원은 전용회선(복수카드정보 조회시스템) 및 단말기를 통해 자사의 회원이 아니더라도 2개 이상 복수 카드 가입자라면 클릭 한 번에 언제든지 개인신용정보를 검색할 수 있게 돼 있다.
여신협회의 ‘신용카드 정보교환 및 관리규약’에 카드사 간 회원정보 공유가 명문화돼 있다. 이에 따르면 공유 목적은 ‘상호 신용카드정보의 교환 및 활용을 도모함으로써 신용카드 이용질서를 건전화하기 위함’이라고 명시돼 있다.
하지만 규약에 정해진 공유정보 항목을 보면 기본신상정보뿐 아니라 신용과 관련된 고위험 내용까지 모두 포함돼 있다. 주민등록정보 등 식별정보는 물론이고 카드(현금서비스 포함) 이용금액, 리볼빙(결제잔액의 대출전환) 이용잔액, 신용공여한도뿐 아니라 개인연체금액에 대한 정보까지 모조리 교환하게 돼 있다.
또 규약의 제11조(복수카드정보의 활용)에 따르면 ‘협회 및 그 위탁회사를 통해 집중 교환되는 복수카드 정보는 카드 발급 및 한도관리 등 당해 회원에 대한 리스크 관리와 연체 가능성을 감시하는 조기경보자료로 사용한다’라고 규정돼 있다. 명목적으론 ‘전담직원은 복수카드 정보를 마케팅 활용 등 정한 목적 이외로 활용하지 않도록 정보의 접근을 제한하고 관리해야 한다’고 해놨다. 이를 여신협회에게 점검할 수 있도록 했다.
그러나 각사가 신용도 조사나 대출한도 산정 등의 차원에서만 정보를 조회하고 있는지 일일이 점검할 수 없고, 실제로 마케팅에 활용한다 하더라도 적발하거나 제지할 만한 수단이 없다. 규약에 협회는 정보활용 목적에 대한 사항을 1회 위반할 경우 경고, 2회 위반 시 정보제공 1개월 정지, 3회 위반 시 정보제공 2개월 정지로 정하고 있지만 솜방망이 수준이라는 지적이다.
금융지주사의 경우 지주와 계열사 간과 계열사끼리 정보 공유는 금융지주회사법에 따라 허용되고 있다. 개인 동의 없이 그룹 내 다른 회사에 영업상 이용하게 할 목적으로 제공할 수 있다.
또 롯데카드의 경우 발급카드 수가 1270만장인데 유출건수는 2배가 넘어 금융계열 자회사와 비금융 계열사 간 정보까지 공유됐을 가능성도 제기된다.
금융당국 관계자는 “이번 카드사 정보 유출 건으로 시중은행까지 타격을 받는 등 금융그룹 내 정보 공유가 큰 문제가 됨에 따라 이를 제한할 방침”이라고 말했다.
서경원 기자/gil@heraldcorp.com
