지난해 8월 삼성카드에서 발생한 대규모 고객정보 유출사고로 피해를 입은 고객들에게 내놓은 최치훈 삼성카드 사장의 사과문 내용이다.
CEO가 직접 나서 고객정보 유출과 관련된 모든 정보를 공개하고 정보유출 고객에 대한 통보와 보상 등의 책임있는 조치를 취해야 하는 데도, 고객이 알아서 홈페이지에서 유출여부를 확인하라는 것이다.
내 정보가 혹시 유출되지 않았을까 노심초사했던 고객들은 삼성카드의 안일한 개인정보 관리 행태에 뒷통수를 맞았고, 해킹사고 후 소비자피해 회복에 대처하는 고압적ㆍ소극적인 태도에 앞통수를 맞은 꼴이다.
지난해 금융권은 고객 개인정보 유출사건에 몸살을 앓았다. 지난해 4월 175만명의 고객정보가 유출된 현대캐피탈 해킹사고를 시작으로 5월 리딩투자증권의 고객정보 1만2000건 유출, 8~9월에는 내부직원에 의한 삼성카드·하나SK카드의 고객정보 유출까지. 금융권의 허술한 전산망 관리는 물론 내부통제시스템의 취약성을 그대로 노출했다.
더 큰 문제는 이렇게 유출된 개인정보들이 신종 보이스피싱(전화금융사기) 범죄에 악용되고 있다는 점이다. 금융감독원 발표에 따르면 지난해 1월~11월까지 보이스피싱 범죄는 7334건, 피해액 879억원으로 이전 최대치인 2008년 877억원을 넘어섰다. 같은 기간 카드론대출 등 신종 보이스피싱과 관련된 대출 피해액은 160억원대(1600여건)에 이른다.
이처럼 개인정보 유출에 따른 피해자와 피해금액은 점점 늘어나고 있지만, 이에 대해 적극적으로 책임지는 경영진은 찾아볼 수 없다. 해킹, 개인정보 유출 등 금융사의 IT보안 문제가 발생하면 보안 담당자들에게만 책임을 떠넘기고, 일시적인 보안투자 강화 등으로 서둘러 사태를 덮으려는 데만 급급할 따름이다.
고객이 안심하고 금융사의 다양한 서비스를 이용할 수 있는 환경을 조성ㆍ관리할 일차적 책임은 CEO에 있다. 조직의 느슨한 보안의식과 금융시스템에 대한 관리 소홀로 수많은 선량한 고객에게 피해가 발생했다면 조직의 수장인 CEO에게 엄중한 책임을 물어야 한다.
만일 최고책임자에 대한 금융당국의 강력한 제재 없이 솜방망이 처벌만으로 은근슬쩍 넘어간다면 사고 재발방지는 요원할 수밖에 없기 때문이다.
걸핏하면 전산장애를 일으키는 농협이 그 대표적 예다. 농협은 재발방지를 약속했지만 지난해 무려 네 차례의 전산사고에 이어 올해에도 지난 3일 또다시 전산망 장애를 일으켰다. 하지만 금융당국은 최원병 농협중앙회장에게 법적 책임을 묻기 어렵다며 아무런 징계도 내리지 않았다.
최고경영자에 대한 엄중한 처벌 없이 유야무야 넘어가는 사이 농협의 전산사고는 연이어 반복됐고, 이에 따른 불편과 피해는 고스란히 고객들의 몫으로 돌아왔다.
금융당국은 조만간 삼성카드와 하나SK카드에 대해 고객정보 유출과 관련 징계수위를 결정할 예정이다. 금융IT 범죄에 대한 징계를 강화하고 정보유출에 대한 책임을 CEO에게까지 묻겠다는 금융당국의 의지가 이번 징계조치에는 제대로 반영될지 지켜볼 일이다.