카드사들은 대응책 미뤄져 난감
◇ “금융당국이 수사협조해야”vs“로우 데이터(raw data) 받으면 위법”
이번 갈등은 수사당국이 금감원에 해당 데이터 분석을 요청하면서 시작됐다. 금감원은 민감한 개인정보가 담긴 데이터를 그냥 넘겨 받을 수 없다고 주장한다. 식별되지 않은 개인정보를 받으면 신용정보법 위반 소지가 있기 때문이다. 일례로 A소비자 개인정보가 담긴 B카드사와 C카드사 데이터를 통째로 금감원이 껴안게 되면, 금감원은 신용정보법을 위반하게 된다. 때문에 그간 개인정보 유출 사고가 발생할 때마다 수사당국이 사전적으로 데이터를 각 사별로 분류해 금융당국에 넘겨줬다.
한 금융권 관계자는 “과거에도 비슷한 개인정보 유출사고가 있었는데, 보통 경찰에서 데이터를 정리한 뒤 금융당국에 넘기는 게 관례였다”고 설명했다. 금융당국은 ‘개인정보 수사 공조를 위한 회의’를 열고 “필요한 경우 관계기관과 적극 협력해 신속하게 소비자 보호조치를 시행할 것”이라고 밝혔다.
◇ 3개월째 책임미루기…개인정보 유출, 아직도?
개인정보 유출이 지속적으로 발생되고 있는지 여부도 관건이다. 수사당국과 금융당국이 데이터 분석을 놓고 약 3개월 간 대치해왔기 때문이다. 카드업계는 2018년 7월이후부터는 정보유출이 이뤄지지 않았다고 보고 있다. 정보보안이 강화된 ‘IC칩 의무화’가 시행됐기 때문이다. 이번 사고가 지금은 없어진 POS단말기 해킹을 통해 정보유출이 이뤄졌던 만큼, IC칩 의무화 조치 이후에는 해킹이 발생되지 않았다는 진단이다. 금융위 측도 “POS단말기가 IC방식으로 교체 완료되면서 정보유출이 지속적으로 발생하지는 않는 것으로 보인다”고 밝혔다.
◇ 카드업계 “핑퐁논란 신속히 마무리돼야 대응책 마련”
카드업계는 양측 간 핑퐁논란이 신속히 마무리돼야 한다고 보고 있다. 만약 유출된 개인정보에 주민번호가 포함돼 있다면 심각한 사고로 번질 수있기 때문이다. 한 카드업계 관계자는 “수사당국이 갖고 있는 정보가 뭉쳐져 있어 확실치 않지만, 카드번호와 패턴 등 유사한 정보가 포함돼 있다고 알고 있다”며 “카드사들은 금융당국의 대응책이 나올 때까지 가만히 있을 수밖에 없어, 현재까지 공식 대응책은 미정”이라고 말했다.