구멍 뚫린 개인정보 유출...카드 피해 저격수 'FDS'의 운명

FDS서 털려버린 고객정보, 카드 부정사용 감시해야 하는 FDS...전문가들 FDS '무용론' 일축

카드사 정보 유출 사태 관련 부정사용방지시스템(FDS)이 과도하게 개인정보를 수집하고 있다는 지적이 제기된다. ⓒ데일리안

"이번 카드 고객 정보 유출은 FDS 개발 과정에서 발생했다. 하지만 모순적으로 이번 정보 유출로 인한 2차 피해를 막기 위해서 FDS가 필요하다."

사상 최악의 고객 정보 유출 사건으로 시름을 앓고 있는 한 카드사 관계자의 말이다. 사상 최대규모의 카드사 고객정보 유출의 시발점이 FDS에서 출발했지만 아이러니하게도 FDS가 고객 피해를 막아야 하는 저격수 역할을 해야하는 운명이다.

한편으로는 카드사의 '부정사용방지시스템(FDS)'이 과도하게 개인정보를 수집하고 있다는 비난을 받으며 무용론마저 나온다. 하지만 정보 유출로 인해 부정사용 가능성이 높은 만큼 FDS 가동이 반드시 필요하다는게 카드사와 보안전문가들의 지적이다.

24일 카드업계에 따르면, 자사 고객 정보가 유출된 것으로 확인된 3개 카드사(△국민카드 △롯데카드 △농협카드)는 모두 FDS를 정상 운용하고 있다. 이번 사태에 원인을 제공한 것으로 알려진 FDS에 대해 특별한 조치를 하지 않은 셈이다.

지난 8일 검찰은 신용평가사 코리아크레딧뷰로(KCB) 직원 A씨가 카드사 FDS 업그레이드 업무를 맡으면서 자신의 이동식저장디스크(USB)에 개인정보 1억400만건을 불법 유출했다고 밝혔다. 유출된 정보 일부는 브로커에게 팔려나간 정황도 포착됐다.

이에 FDS가 지나치게 많은 정보를 활용해 이번 사태가 발생하지 않았냐는 비판의 목소리가 나오고 있다. 일각에선 FDS가 굳이 필요하냐는 주장까지 나온다.

지금까지 유출된 것으로 확인된 개인정보만 18개 항목이다. 여기에는 △여권번호 △카드번호 △유효기간 △결제계좌 △연소득 등 민감한 정보도 포함돼 있다.

하지만 카드업계와 보안전문가는 FDS 정보 수집은 선택이 아닌 필수라고 반발한다. 특히 만약 유출된 고객 정보가 '유통'이 됐다면 이로 인한 2차 피해는 FDS로만 막을 수 있다고 강변한다.

FDS를 개발하는 보안업체 한 관계자는 "카드사가 FDS를 도입한 것은 카드 위·변조나 분실, 도난 등에 의한 부정사용을 막기 위해서다"면서 "FDS 존폐를 논의하는 건 적절하지 않다"고 목소리를 높였다.

이어 그는 "이번 정보 유출 사태가 FDS 개발 과정에서 일어난 건 맞지만, 그 속을 들여다보면 외부 해킹이 아닌 내부 보안 통제 부족으로 발생한 것"이라고 덧붙였다.

또 다른 보안업체 관계자는 "정보 유출로 인한 2차 피해를 우려한다면 오히려 FDS를 강화해야 한다"면서도 "다만 어떤 정보를 수집했냐는 문제가 될 수 있어 보인다"고 말했다.

FDS는 카드 소지자의 나이, 성별 등은 물론 평소 거래 금액이나 가맹점, 시간, 장소 등을 논리화 해 부정사용을 가린다.

예컨대 평소 자신의 신용카드로 마트에서만 결제하던 50대 여성이 새벽 시간 유흥주점에서 결제했다면 FDS는 이를 부정사용으로 걸러낸다. 또 서울에서 신용카드를 사용한 지 3분 만에 뉴욕에서 결제가 이뤄지면 이도 FDS 감시 대상에 포착된다.

개인의 민감한 정보가 많을수록 FDS의 정확성은 높아진다. 이번 카드 고객 정보 유출 규모가 큰 이유도 FDS의 이런 특징 때문이다.

결국 문제는 카드사가 방대한 정보를 선별적으로 가리지 않고 무차별 활용했다는 점이다.

카드사 관계자는 "개인적으로 이번 사고를 KCB 직원에 의한 인재로 보지 않는다"면서 "아무리 FDS의 정확도를 높인다고 해도 민감한 정보는 충분히 지워도 된다"고 시인했다.

이어 그는 "FDS 개발 과정에서 카드번호와 유효기간, 주민번호 전체가 노출된 건 명백히 이를 가리지 않고 활용한 카드사의 잘못"이라고 알렸다.

다른 카드사 관계자도 이에 동의하면서도 만에 하나 발생할지 모르는 정보 유출로 인한 2차 피해를 막기 위해 FDS가 정상 운용돼야 한다고 설명했다.

#FDS 보안업체

#롯데카드 국민카드 농협카드

#카드 회원정보

#카드사 정보유출 고객