세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[단독] NH농협카드·KB국민카드·롯데카드, 아직 정신 못 차렸나?
  |  입력 : 2014-01-19 03:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

개인정보 유출여부 조회하려다 정보유출 더 심해질 수도
NH농협카드, 조회 서비스 시 개인 및 금융정보 평문으로 전송   

[보안뉴스 김지언] 최대 규모의 개인정보가 유출된 KB국민카드, NH농협카드, 롯데카드가 18일 각 사 홈페이지에서 개인정보 유출 확인 조회 서비스를 일제히 개시했다.


 ▲NH농협카드 개인정보 유출 페이지에서 인증할 때 입력한 주민등록번호, 휴대폰번호, 본인인증번호 등이 암호회되지 않은 채 그대로 노출된 상태로 전송되는 것을 확인할 수 있다.

그러나 이들 카드사의 개인정보 유출조회 서비스가 보안상 취약한 것으로 드러나 사용자들의 불안감이 더욱 높아지고 있는 실정이다.


허술한 조회 절차로 2차 피해 우려

국민카드는 18일 오전까지 카드 사용자의 생년월일과 주민등록번호 마지막 한자리만 알면 유출 여부를 확인할 수 있도록 했다. 이 때문에 당사자가 아닌 제3자가 다른 누군가의 개인정보 유출 여부는 물론 어떤 정보가 유출됐는지 파악하는 것이 가능했다.


특히 이름과 생년월일이 널리 알려진 정치인이나 연예인 등 유명 인사의 경우 제3자가 마음만 먹으면 그들의 개인정보 유출 여부 및 유출된 정보의 유형에 대해 손쉽게 알아낼 수 있었다. 심지어 국민카드 측은 입력 오류 횟수 제한조차 지정하지 않았다.


국민카드 측은 18일 오전 이 사실을 알고 공인인증서, 신용카드, 휴대전화 인증을 통해서만 개인정보 유출 여부를 확인할 수 있도록 보안을 강화했다.


농협카드 역시 18일 오후 2시 이후까지 이름과 주민등록번호 일부, 카드번호 일부만으로 개인정보 유출 여부를 확인할 수 있도록 했지만 현재는 신용카드 인증·휴대폰 인증 등을 해야 유출 여부를 확인할 수 있는 상태다.


그러나 유출 조회를 하는 과정에서 카드의 주요 정보 등을 모두 입력해야 하는 만큼 조회서비스의 보안이 제대로 되었는지와 관련해 의문이 제기됐다.


보안전문가 박성진씨는 “NH농협카드의 경우 개인정보 유출조회 이용 시 입력한 개인정보와 금융정보가 모두 평문으로 전송된다”며, “사용자들 간에 같은 무선네트워크를 쓰는 상황에서 입력 문자(평문) 그대로 주요 개인정보가 전송될 경우 해커가 전송되는 모든 데이터를 볼 수 있어 위험하다”고 전했다.


덧붙여 그는 “안전행정부 소프트웨어 보안취약점 진단가이드에 패스워드, 개인정보(주민등록번호, 여권번호 등), 금융정보(카드번호, 계좌번호 등) 등을 저장할 때에는 반드시 암호화해 저장해야 하고 통신채널을 통해 전송할 때에도 암호화해야 한다고 명시돼 있다”며 “중요 정보에 대해서는 반드시 보안정책에 따른 암호화를 적용해야 한다”고 밝혔다.


또한 그는 “KB국민카드의 경우 개인정보 유출 조회 시 입력 내용을 암호화해 조회하고 있었고, 롯데카드의 경우 암호화 통신은 하지 않고 있지만 입력정보가 그대로 전송되지는 않았다”고 밝혔다.


이렇듯 개인정보 유출조회 서비스의 보안상태가 허술하다는 지적이 나오고 있는 상황에서 유출피해를 입은 사용자들은 개인정보 유출시기가 1년 가까이 지난 농협카드와 국민카드의 유출 정보 원본이 모두 회수됐고 추가 유출과 유통을 차단했다는 검찰 측의 발표를 신뢰하지 못하겠다는 견해도 밝히고 있다.


이로 인해 정보유출 피해를 입은 사용자들의 분노도 점차 거세지고 있다. 피해당사자들 사이에서는 “일년 전 유출된 농협카드 정보 진짜 회수된 것이 맞나 의심된다”, “유출 정보를 이용해 보이스피싱, 피싱 등 2차 피해가 발생할까 불안해진다”, “카드사들 스스로 개인정보보안을 강화하지 않을 수 없도록 강력한 본보기가 필요한 때다”, “얼마나 보안이 허술했으면 이런 일이 발생하나”, “농협·국민·롯데 카드사 개인정보 유출 확인 너무 한 것 아닌가”, “소 잃고도 외양간 못 고치는 격이다”, “개인정보 회수된 거 맞는지 모르겠다” 등의 비판적 의견이 쏟아졌다.

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)