카드 3사 개인정보 유출

침해 사고 정보
일자	2014/01/08
침해 정보	개인정보 (주민번호, 연락처, 집 주소 등) 금융정보 (결제일, 신용한도 금액, 신용등급 등)
특징	내부 직원에 의한 유출
피해크기	모든 국민 정보 유출
침해 사고 분석
경위	① 2013 KB카드, 롯데카드, 농협카드가 KCB에 부정사용방지(FDS) 업그레이드 용역 > FDS(Fraud Detection System): 고객의 평소 카드 사용형태를 분석해 이상한 거래가 나타나면 카드거래를 승인을 하지 않는 시스템   ② KCB 담당 직원이 2012.10~2013.12까지 USB로 카드 고객들의 개인정보 유출      KB 5300만건, 롯데 2600만건, 농협 2500만건, 도합 1억 400만건(중복포함)   ③ 유출 정보를 대출광고업자에 1650만원 판매 대출광고업자들은 2300만원에 판매   ④ 해당 카드사들은 유출 사실을 인지하지 못했고, 7개월 뒤인 2014년 1월 검찰의 발표에 의해 알려짐
원인	① 전자금융감독 및 보안 규정 위반 - 물리적 보안 등 보안 규정의 부제 - 전자금융감독 규정: 전산 프로그램 실험 시 실데이터의 사용을 금지 - 카드 3사는 고객 정보를 변환없이 그대로 제공 * 당시 3사의 전자금융감독 규정 위반 사항 - 국민카드: 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지 위반 - 롯데카드: 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지, 전산장비 반출 통제 위반 - NH카드: 전산장비 반입 통제, 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지, 전산장비 반출 통제 위반   ② 접근 통제 부제 - 용역 직원이 사용한 PC에는 USB 통제 프로그램이 설치되지 않음   ③ 당국의 소극적 대처 -당시 정보 유출 사건 발생 시 ‘기업 주의’ 조치와 600만원 정도의 징계
조치	① 금융위원회 - "금융분야 개인정보 유출 재발방지 종합대책" 발표 > 현황/문제점 및 재발방지를 위한 향후 계획을 발표 > 문제점 ⒜ 과도한 수집 관행: 영업에 필수적이지 않은 정보까지 수집하여 장기간 보유 ⒝ 포괄적 동의 관행: 제3자 제공시 목적도 불분명한 “포괄적 동의” 등으로 인해 사실상 동의가 강요 ⒞ 권리보장 미흡: 개인정보 제공에 대한 ‘자기정보 결정권’이 실질적으로 보장되지 못함 ⒟ 불법정보 수요: 대출모집인 등이 “무차별적” 모집․권유 영업을 하는 과정에서, 불법정보의 수요처로 작용 ⒠ 내부통제 부실: 주요 의사결정자에 대해 정보보호 현황에 대해 충분한 보고가 이루어지지 않고, 관심이 부족 ⒡ 불충분한 제재: 정보유출시 금융회사 등에 대한 제재 수준이 미미하여 재발방지 효과가 미흡 > 계획 ⒜ 정보수집을 최소화하고 보관기간을 5년으로 단축하는 등 정보를 체계적으로 엄격히 관리 ⒝ 주민등록번호는 최초 거래시에만 수집하되, 번호 노출이 최소화되는 방식으로 수집(예: key-pad 입력)하고, 암호화하여 보관 ⒞ 정보 제공 등의 동의서 양식을 중요 사항은 잘 보이도록 글씨를 크게 하고 필수사항에 대한 동의만으로 계약이 체결되도록 전면 개편 ⒟ 금융회사의 개인정보 이용․제공 현황을 조회하고, 영업목적 전화에 대한 수신 거부(Do-not-Call) 등록 등을 위한 시스템 구축 ⒠ 임원 등의 정보보호․보안관련 책임을 강화하고, 불법정보 활용․유출과 관련한 금전적․물리적 제재를 대폭 강화  ⒡ 금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제를 강화하는 한편, 카드결제 정보가 안전하게 처리되도록 단말기를 전면 교체 ⒢ 금융회사가 보유 또는 제공한 정보도 불필요한 것은 즉시 삭제하고, 정보유출시 대응 매뉴얼(Contingency Plan)마련 및 비상 대응체계 구축 ② 3사 2014/02/17~2014/05/16 영업정지 처분 및 벌금 (현행법 상 최고 수준 제재)   ③ 카드 3사의 허술한 유출 확인 방법 - 국민카드: 이름, 생년월일, 주민번호 끝자리로 유출 여부 확인 -> 주요 인사들의 개인정보 유출로 이어짐 - NH카드: 유출 확인 페이지에 입력한 정보를 암호화 없이 평문 전송 -> 스니핑으로 인한 추가 유출로 이어짐 - 그 외: Active X로 인한 불편함, 사용자 급증에 따른 장애   ④ 3사 카드 사용자들은 2014/01/20 손해배상 청구결과 - 유출 고객에게 각각 10만원씩 위자료 배상 판결(2018 국민, 농협 판결, 2019 롯데 판결)   ⑤ KCB는 국민에 404억원, 농협에 180억 배상 판결(2022)
기타	- 2015 보안 컨설팅 업체 젬알토에서 2014 최악의 개인정보 유출사례 선정   - 전자금융감독규정 제12조(단말기 보호대책)의 4 정보유출, 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조기억매체 및 휴대용 전산장비에 접근하는 것을 통제할 것   - 전자금융감독규정 제13조(전산자료 보호대책)의 10 이용자 정보의 조회ㆍ출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 법인인 이용자 정보는 금융감독원장이 정하는 바에 따라 이용자의 동의를 얻은 경우 테스트 시 사용 가능하며, 그 외 부하 테스트 등 이용자 정보의 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)   - 전자금융감독규정 제13조(전산자료 보호대책)의 4 전산자료 및 전산장비의 반출ㆍ반입을 통제할 것   - 삼성카드, 신한카드는 전자금융감독규정 준수 및 암호화 프로그램 등을 이용해 피해 無   - 전 국민이 피해를 입어 주민등록번호 등을 바꾸는 법 신설