금융정보유출은 경영진의 문제 - II

문제 근본을 보자.

KCB의 FDS 개발 담당자가 확인된 것만 1년 전부터 고객사들 시스템 구축하면서 정보를 빼냈다고 한다. 그렇다면 KCB의 내부 데이터들은 이미 오래전 이야기 아닐까? 

당연히 그럴 것이다. 또한 그걸 통제할 수 있는 범위와 권한은 보안 실무자들에게 주어지지도 않았을 것이고.. 내가 보기엔 이번 유출 범위는 3개 회사가 아니고 좀 더 상세히 본다면 국내 금융기관 전체의 데이터들이 유출 되었다고 봐야 할 것같다. ( KCB가 대부분의 금융기관으로부터 데이터를 받아서 가공한 뒤에 제공을 하는 역할인데 이게 무슨 의미인지 생각 해야 되지  않겠나? )

결론적으로는 금융기관, 금융기관의 정보를 가공해서 제공하는 기업, 통제와 관리 책임을 가진 금융정책당국들 모두가 한통속의 책임을 가지고 있다. 책임전가와 회피는 현재의 상황에서 전혀 무의미하다. 회피 할 수록 더 깊이 들어가게 될 것이다.

Wiki 설명에 따르면 KCB의 구성과 내용은 다음과 같다.

http://ko.wikipedia.org/wiki/%EC%BD%94%EB%A6%AC%EC%95%84%ED%81%AC%EB%A0%88%EB%94%A7%EB%B7%B0%EB%A1%9C

"코리아크레딧뷰로(KCB, Korea Credit Bureau) 주식회사는 서울특별시 종로구에 본사를 둔 대한민국의 개인신용평가 전문회사(Credit Bureau)이다. 2005년 2월 22일, 신용정보의 이용 및 보호에 관한 법률에서 정하는 신용조회 및 신용조사업무, 기타 위와 관련된 부수 업무를 목적으로 하여 설립되었다. 자본금은 500억원이며 은행, 카드, 보험사 등 19개 법인이 주주로 참여하고 있다. 

국민은행, 삼성카드, 서울보증보험, 우리금융지주, LG카드, 농협, 하나은행, 신한금융지주, 광주은행, 삼성생명, 외환은행, 경남은행, 교보생명, 대한생명, 삼성화재, 비자카드, 현대카드, 현대캐피탈 등의 국내 주요 금융회사이다.

~~

KCB는 은행, 신용카드사, 보험사 등 금융회사나 공공기관으로부터 개인신용정보를 수집해 가공한 후 이를 다시 금융회사에 제공하고 있다. KCB는 금융회사들의 리스크 관리 인프라 역할을 수행하는 대한민국 내 최대의 데이터 풀(Data Pool)을 확보하고 있다는 평가를 받고 있다. [2] 대한민국 국민 신상정보의 70% 이상인 3600만개의 데이터를 보유하고 있다. 경제활동 연령대인 20~59세 인구만 따로 분석했을 때엔 98% 수준에 육박한다."

사실상 대한민국 경제활동의 전체에 대한 민감한 정보가 모두 유출되었다고 보아야 할 것이다. 지금이야 USB를 통해 목록화된 1억건만 이슈가 되고 있고 3개 카드사만 문제가 되고 있다고 보도되고 있지만 과연 그럴까?

상대적으로 감시나 눈길이 심한 고객사에서도 정보를 빼냈는데 자신의 회사에서 안빼냈을까?

이전에 주민번호를 대체하기 위해 아이핀이란 제도를 시행 할때 아이핀에 대한 인증을 신용평가사를 통해서 확인 하도록 되어 있었다. 그때 지적한 문제가 만약 모든 정보를 쥐고 있는 신용평가사가 해킹이나 정보 유출이 된다면 어떻게 할 것인가 였다!...

이때 신용평가사에 대한 해킹이나 정보유출에 대한 답변은 없었다. !!!

그리고 그 문제는 이제 발생 되었다.  당연한 예상이였으나 답은 없었다는 것.

금융회사들이 주주로 참여하여 또 다른 회사를 만들고 정보를 공유하고 가공하여 또 다른 이득을 창출한다.  모든 것이 효율성과 수익에만 철저하게 맞춰져 있다. 그 기반이 되는 정보는 그냥 수익의 도구 일뿐이다. 

결론은 KCB랑 금융기관은 동맹군이며, 금융정책당국은 사령부 역할 정도 한다고 보아야 된다.  동맹군이니 가장 민감한 곳간의 열쇠도 맡겨두고 턱 하니 믿고 일한 것 아닌가?  사령부도 당연히 그랬을 것이고.. 전쟁의 패전 책임은 장수와 사령부 모두에게 있다. 패하고 난 이후에 동맹군이 배신을 해서 패했다는건 말도 안되는 변명일 뿐이다. 전쟁에 패해서 망하기 직전까지 왔는데도 책임전가를 이야기하는 사례는 고대로부터 어마어마하게 많은 사례가 있다. 

패전의 책임은 위로부터 엄밀하게 물어야 할 것이다.  이번과 같은 대참사의 원인은 경계의 실패가 아니다. 책임은 관료화된 결정과 책임회피를 일상으로한 감독기관 그리고 금융기관 모두의 동반책임을 져야할 엄중한 상황이다.

기반이 튼튼하지 못하고 모양에만 집중하다 기둥이 한꺼번에 무너져내린 경우라 할 수 있다.  KCB도 데이터베이스 품질대상과 국내 최초 데이터 관리 인증에 빛나고 있다. 허울 좋은 인증과 관리체계들도 단지 홍보와 구색맞추기 수단으로 전락하고 있는 상황에서 실질적인 보안은 먼 나라 이야기다.  

* 2013년 11월 한국데이터베이스 진흥원이 주관하는 데이터 관리 인증(DQC-M)에서 국내 최초로 통합 3레벨을 인증 

*11월 29일(금) 한국지능정보시스템학회 추계학술대회에서 KCB가 '빅데이터 대상' 수상

* 11월 28일(목) KCB가 2009년에 이어 다시한번 '2013 데이터품질관리대상'을 수상

* 2012. KCB가 금융소비자보호대상 기타 공공부문에서 최우수상(금융감독원장상)을 수상

* 2007년 10월 5일 'KCB ISO27001 인증 획득