세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[단독] NH농협카드·KB국민카드·롯데카드, 아직 정신 못 차렸나?
  |  입력 : 2014-01-19 03:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

개인정보 유출여부 조회하려다 정보유출 더 심해질 수도
NH농협카드, 조회 서비스 시 개인 및 금융정보 평문으로 전송   

[보안뉴스 김지언] 최대 규모의 개인정보가 유출된 KB국민카드, NH농협카드, 롯데카드가 18일 각 사 홈페이지에서 개인정보 유출 확인 조회 서비스를 일제히 개시했다.


 ▲NH농협카드 개인정보 유출 페이지에서 인증할 때 입력한 주민등록번호, 휴대폰번호, 본인인증번호 등이 암호회되지 않은 채 그대로 노출된 상태로 전송되는 것을 확인할 수 있다.

그러나 이들 카드사의 개인정보 유출조회 서비스가 보안상 취약한 것으로 드러나 사용자들의 불안감이 더욱 높아지고 있는 실정이다.


허술한 조회 절차로 2차 피해 우려

국민카드는 18일 오전까지 카드 사용자의 생년월일과 주민등록번호 마지막 한자리만 알면 유출 여부를 확인할 수 있도록 했다. 이 때문에 당사자가 아닌 제3자가 다른 누군가의 개인정보 유출 여부는 물론 어떤 정보가 유출됐는지 파악하는 것이 가능했다.


특히 이름과 생년월일이 널리 알려진 정치인이나 연예인 등 유명 인사의 경우 제3자가 마음만 먹으면 그들의 개인정보 유출 여부 및 유출된 정보의 유형에 대해 손쉽게 알아낼 수 있었다. 심지어 국민카드 측은 입력 오류 횟수 제한조차 지정하지 않았다.


국민카드 측은 18일 오전 이 사실을 알고 공인인증서, 신용카드, 휴대전화 인증을 통해서만 개인정보 유출 여부를 확인할 수 있도록 보안을 강화했다.


농협카드 역시 18일 오후 2시 이후까지 이름과 주민등록번호 일부, 카드번호 일부만으로 개인정보 유출 여부를 확인할 수 있도록 했지만 현재는 신용카드 인증·휴대폰 인증 등을 해야 유출 여부를 확인할 수 있는 상태다.


그러나 유출 조회를 하는 과정에서 카드의 주요 정보 등을 모두 입력해야 하는 만큼 조회서비스의 보안이 제대로 되었는지와 관련해 의문이 제기됐다.


보안전문가 박성진씨는 “NH농협카드의 경우 개인정보 유출조회 이용 시 입력한 개인정보와 금융정보가 모두 평문으로 전송된다”며, “사용자들 간에 같은 무선네트워크를 쓰는 상황에서 입력 문자(평문) 그대로 주요 개인정보가 전송될 경우 해커가 전송되는 모든 데이터를 볼 수 있어 위험하다”고 전했다.


덧붙여 그는 “안전행정부 소프트웨어 보안취약점 진단가이드에 패스워드, 개인정보(주민등록번호, 여권번호 등), 금융정보(카드번호, 계좌번호 등) 등을 저장할 때에는 반드시 암호화해 저장해야 하고 통신채널을 통해 전송할 때에도 암호화해야 한다고 명시돼 있다”며 “중요 정보에 대해서는 반드시 보안정책에 따른 암호화를 적용해야 한다”고 밝혔다.


또한 그는 “KB국민카드의 경우 개인정보 유출 조회 시 입력 내용을 암호화해 조회하고 있었고, 롯데카드의 경우 암호화 통신은 하지 않고 있지만 입력정보가 그대로 전송되지는 않았다”고 밝혔다.


이렇듯 개인정보 유출조회 서비스의 보안상태가 허술하다는 지적이 나오고 있는 상황에서 유출피해를 입은 사용자들은 개인정보 유출시기가 1년 가까이 지난 농협카드와 국민카드의 유출 정보 원본이 모두 회수됐고 추가 유출과 유통을 차단했다는 검찰 측의 발표를 신뢰하지 못하겠다는 견해도 밝히고 있다.


이로 인해 정보유출 피해를 입은 사용자들의 분노도 점차 거세지고 있다. 피해당사자들 사이에서는 “일년 전 유출된 농협카드 정보 진짜 회수된 것이 맞나 의심된다”, “유출 정보를 이용해 보이스피싱, 피싱 등 2차 피해가 발생할까 불안해진다”, “카드사들 스스로 개인정보보안을 강화하지 않을 수 없도록 강력한 본보기가 필요한 때다”, “얼마나 보안이 허술했으면 이런 일이 발생하나”, “농협·국민·롯데 카드사 개인정보 유출 확인 너무 한 것 아닌가”, “소 잃고도 외양간 못 고치는 격이다”, “개인정보 회수된 거 맞는지 모르겠다” 등의 비판적 의견이 쏟아졌다.

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)