Day 46: 실무 사례 #6 - 카드3사 개인정보 유출 사건 (2014)
[ 1. 사건 개요 ]
기본 정보
- 회사 : KB국민카드, 롯데카드, NH농협카드
- 발생 시기 : 2013년 12월 - 2014년 1월
- 발견 : 2014년 1월 8일
- 유출 규모 : 약 1억 400만 건 (역대 최대 건수)
사건 요약
- 신용정보회사 직원과 카드사 협력업체 직원이 공모하여 3개 카드사의 고객 개인정보 1억 400만 건을 불법으로 유출했다.
- 유출 정보에는 이름, 주민등록번호, 카드번호, 유효기간, 전화번호 등이 포함되었으며, 대출 모집인 등에게 판매되었다.
- 국내 역사상 건수 기준 최대 규모의 개인정보 유출 사건이다.
[ 1.1 상세 경위 ]
범행 기간 : 2013년 12월 - 2014년 1월 (약 1개월)
범행 주체
1. 주범 A : 코리아크레딧뷰로 (KCB, 신용정보회사) 직원
2. 공범 B : KB국민카드 협력업체 직원
3. 공범 C : 롯데카드 협력업체 직원
4. 공범 D : NH농협카드 협력업체 직원
5. 중개인 E : 대출 모집인
범행 방법
1. 협력업체 직원 B, C, D가 각 카드사 시스템에 정당한 업무 권한으로 접근
2. 고객 정보를 조회하여 USB에 복사
3. 주범 A (KCB 직원)에게 전달
4. 주범 A가 KCB 시스템에서 추가 정보 (신용등급, 연체 정보 등) 결합
5. 중개인 E를 통해 대출 모집인, 보험 설계사 등에게 판매
6. 건당 200원 - 300원에 판매, 총 수익 약 2억원
유출 데이터
- 이름, 주민등록번호, 전화번호, 주소
- 카드번호, 유효기간, CVC (카드 뒷면 3자리)
- 신용등급, 연체 정보, 대출 정보
유출 규모
- KB국민카드 : 약 5,400만 건
- 롯데카드 : 약 3,200만 건
- NH농협카드 : 약 1,800만 건
- 총 : 약 1억 400만 건
- 실제 피해자 : 약 2,000만 명 추정 (대한민국 인구의 40%)
[ 1.2 타임라인 ]
2013년 12월
- 범행 시작, 협력업체 직원들이 고객 정보 복사 시작
2014년 1월 초
- 유출 정보가 대출 모집인 등에게 판매됨
- 일부 피해자가 보이스피싱, 스미싱 피해 신고 증가
2014년 1월 8일
- 금융감독원, 이상 징후 포착 후 카드사에 긴급 조사 지시
2014년 1월 10일
- 금융감독원 공식 발표, 언론 보도 시작, 카드3사 대표 긴급 사과
2014년 1월 15일
- 주범 A 및 공범 B, C, D 검거
2014년 1월 20일
- 국회 긴급 청문회, 카드사 대표 출석
2014년 2월
- 금융감독원 제재 발표, 과징금 및 시정명령
2014년 3월
- 집단 소송 제기 시작
[ 2. 법률 분석 ]
[ 2.1 적용 법률 ]
주요 법률
1. 신용정보법
2. 개인정보보호법
3. 정보통신망법
4. 형법
카드사 및 신용정보회사는 신용정보법 적용, 개인정보 유출은 개인정보보호법 및 정보통신망법, 내부자 범죄는 형법이 적용된다.
[ 2.2 위반 사항 분석 ]
내부자에 대한 처벌
주범 A (KCB 직원)
신용정보법 제50조 (벌칙)
- 업무상 알게 된 개인신용정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자
- 5년 이하의 징역 또는 5천만원 이하의 벌금
개인정보보호법 제70조 (개인정보 누설)
- 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자
- 5년 이하의 징역 또는 5천만원 이하의 벌금
형법 제356조 (업무상 배임)
- 타인의 사무를 처리하는 자가 그 임무에 위배하는 행위로써 재산상의 이익을 취득
- 10년 이하의 징역 또는 3천만원 이하의 벌금
실제 처벌
- 1심 : 징역 4년 실형
- 2심 : 징역 3년 6개월 (감형)
- 확정 : 징역 3년 6개월
- 벌금 1억원, 추징금 2억원
공범 B, C, D (카드사 협력업체 직원)
- 징역 2년 - 2년 6개월 (일부 집행유예)
- 벌금 3천만원 - 5천만원
중개인 E (대출 모집인)
- 징역 1년 6개월 (집행유예)
- 벌금 2천만원
[ 2.3 카드사 및 KCB의 책임 ]
안전성 확보 조치 의무 위반
법적 근거
- 신용정보법 제32조 (개인신용정보의 관리)
- 개인정보보호법 제29조 (안전성 확보 조치)
위반 내용
1. 접근통제 미흡
- 협력업체 직원이 무제한 고객 정보 조회 가능
- 업무 목적 외 조회 차단 장치 없음
- 권한 관리 부실
2. 로그 관리 미흡
- 개인정보 접근 기록 점검 안 함
- 비정상 조회 (대량, 반복) 탐지 실패
- 월 1회 점검 의무 위반
3. USB 차단 미흡
- 협력업체 직원 PC에서 USB 사용 가능
- 개인정보 반출 통제 없음
4. 협력업체 관리 부실
- 협력업체 직원에 대한 보안 교육 미흡
- 보안 서약서 형식적
- 감독 부실
해당 조항
- 신용정보법 제52조 (과태료) : 제32조 위반 시 5천만원 이하 과태료
- 개인정보보호법 제71조 (벌칙) : 제29조 위반하여 안전성 확보 미조치 시 2년 이하 징역 또는 2천만원 이하 벌금
[ 2.4 처벌 및 제재 ]
카드사 제재 (금융감독원, 2014년 2월)
KB국민카드
- 과징금 : 24억 4천만원 (당시 최대)
- 시정명령 : 내부 통제 강화, 협력업체 관리 강화, 정보보호 체계 개선
- 임원 문책 : CISO 해임, 담당 임원 경고
롯데카드
- 과징금 : 14억 8천만원
- 임원 문책 : 담당 임원 경고
NH농협카드
- 과징금 : 8억 2천만원
- 임원 문책 : 담당 임원 주의
KCB (코리아크레딧뷰로)
- 과징금 : 10억원
- 시정명령 : 내부 통제 전면 개편
- 영업 일부 정지 : 6개월
총 과징금 : 약 57억원
민사 배상
집단 소송 (2014년 3월 제기)
- 원고 : 약 30만 명
- 청구액 : 1인당 100만원 - 300만원
1심 판결 (2015년)
- 1인당 10만원 배상 (일부 인용)
- 총 배상액 : 약 30억원
2심 판결 (2016년)
- 1심 유지, 총 배상액 약 30억원 확정
총 비용 추정
- 과징금 : 약 57억원
- 민사 배상 : 약 30억원 (집단 소송) + 개별 소송
- 시스템 개선 : 약 500억원 (추정)
- 총 직접 비용 : 약 600억원 이상
[ 2.5 법 개정 ]
신용정보법 개정 (2015년)
- 과징금 상한 상향 : 매출액의 3% 이하로 상향
- 내부 통제 강화 의무 : 접근 권한 최소화, 로그 점검 의무화
- 협력업체 관리 강화 : 협력업체 직원도 정규직과 동일한 보안 의무
개인정보보호법 개정 (2014년)
- 과징금 제도 도입 : 매출액 3% 이하
- 안전조치 기준 구체화 : 접근통제, 로그 관리, USB 차단 등
정보통신망법 개정 (2014년)
- 주민등록번호 수집 제한 강화 : 사실상 수집 금지 (대체 수단 의무화)
[ 3. 기술적 분석 ]
[ 3.1 내부자 유출의 전형 ]
정당한 권한 악용
- 협력업체 직원은 업무상 고객 정보 조회 권한 보유
- 정당한 접근처럼 보여 시스템이 탐지 못함
- 약 1개월간 1억 건 이상 대량 유출 지속
탐지 어려움
- 정상 업무와 구분 어려움
- 로그 분석 없으면 발견 불가
- 자동 탐지 시스템 부재
[ 3.2 카드사의 보안 취약점 ]
접근통제 미흡
- 콜센터 직원도 주민번호, 카드번호 무제한 조회 가능
- 최소 권한 원칙 미적용
- 업무 목적 외 조회 차단 장치 없음
로그 관리 미흡
- 1개월간 1억 건 조회 = 일 300만 건 이상 (명백히 비정상)
- 로그 점검 안 함 (법적 의무인 월 1회 위반)
- 비정상 패턴 탐지 시스템 없음
USB 차단 미흡
- 협력업체 직원 PC에서 USB 사용 가능
- DLP (Data Loss Prevention) 미도입
- 조회한 정보를 USB에 복사해도 아무런 제약 없음
협력업체 관리 미흡
- 협력업체 직원에게 정규직과 동일한 권한 부여
- 보안 교육, 감독 미흡
[ 3.3 사후 보안 강화 조치 ]
접근통제 강화
- 최소 권한 원칙 적용, 직무별 차등 권한
- 조회 사유 입력 의무화
- 일일 조회 건수 제한 (일 100건 등)
로그 모니터링 강화
- 실시간 비정상 조회 탐지
- AI 기반 이상 패턴 분석
- 월 1회 점검 의무 강화
USB 차단 및 반출 통제
- 협력업체 PC USB 완전 차단
- DLP 도입, 워터마크 적용
협력업체 관리 강화
- 연 4회 보안 교육
- 법적 구속력 있는 서약서
- 월 1회 별도 로그 점검
- 권한 최소화
[ 4. 대응 평가 ]
[ 4.1 잘한 점 ]
신속한 신고
- 유출 확인 즉시 금융감독원 신고, 법적 의무 준수
투명한 공개
- 언론 브리핑, 홈페이지 공지, 고객 통지 (SMS, 우편), 대표 공식 사과
범인 검거 협력
- 경찰 수사 적극 협조, 범인 전원 검거
[ 4.2 미흡한 점 ]
사전 예방 실패
- 1개월간 1억 건 유출 후에야 발견
- 로그 점검 안 함 (법적 의무 위반)
- 접근통제, USB 차단 등 기본 통제 부재
협력업체 관리 부실
- 협력업체 직원 = 취약점
- 정규직과 동일 권한, 하지만 관리 감독 미흡
초기 대응
- 금융감독원이 먼저 이상 징후 포착
- 카드사 자체 탐지 실패
[ 5. 교훈 및 시사점 ]
[ 5.1 기술적 교훈 ]
내부자 위협은 가장 위험
- 외부 해킹보다 내부자 유출이 더 위험 (정당한 권한 악용)
- 대응 : 최소 권한 원칙, 로그 실시간 모니터링, 제로 트러스트 (Zero Trust)
협력업체는 취약점
- 협력업체 직원 = 보안 취약점
- 대응 : 권한 최소화, 별도 관리 감독, 보안 교육 강화
로그 모니터링 필수
- 개인정보 접근 기록 점검 의무 (월 1회)
- 비정상 패턴 : 대량 조회, 반복 조회, 업무 시간 외 조회
- 자동 탐지 및 경고 시스템 필요
USB 차단
- USB = 정보 유출 경로 1순위
- 개인정보 취급 PC는 USB 완전 차단
- 대안 : DLP, 워터마크, 화면 캡처 방지
최소 권한 원칙
- 직원은 업무에 필요한 최소한의 정보만 조회
- 권한 분리 : 조회, 수정, 삭제 권한 분리
[ 5.2 법률적 교훈 ]
내부자도 엄중 처벌
- 개인정보 누설 : 5년 이하 징역
- 업무상 배임 : 10년 이하 징역
- 실제 처벌 : 징역 3년 6개월 실형
회사도 책임
- 안전조치 의무 위반 = 회사 책임
- 과징금 57억원, 형사 처벌 가능
협력업체 직원도 동일 책임
- 협력업체 직원도 개인정보 취급자로서 동일한 법적 의무와 처벌
- 회사는 협력업체 관리 책임, 관리 부실 시 회사도 처벌
법 개정의 계기
- 카드3사 사건 이후 과징금 상향 (매출액 3%), 내부 통제 강화, 협력업체 관리 의무 법제화
[ 5.3 경영적 교훈 ]
내부 통제 투자 필수
- 카드3사 총 손실 : 약 600억원 이상 (직접) + 수천억원 (간접)
- 사전 투자 추정 : 접근통제 강화 10억원, DLP 도입 5억원, 협력업체 관리 5억원 = 총 20억원
- 600억원 vs 20억원 = 30배 차이
협력업체 관리는 필수
- 협력업체도 정규직과 동일한 보안 기준 적용
- 계약서에 보안 의무 및 손해배상 조항 명시
평판 회복 어려움
- 한 번의 사고가 수십 년 쌓은 신뢰를 무너뜨림
[ 6. 주요 내부자 유출 사건 비교 ]
카드3사 (2014년 1월)
- 유출 규모 : 1억 400만 건
- 범인 : 협력업체 직원
- 과징금 및 배상 : 과징금 57억원, 배상 30억원
KT (2012년 1월)
- 유출 규모 : 1,200만 건
- 범인 : 콜센터 직원
- 과징금 및 배상 : 과징금 4억원, 배상 50억원
카드3사 특징
- 역대 최대 건수 (1억 건)
- 협력업체 직원 공모
- 신용정보회사 연루
- 법 개정 계기
- 금융권 전반 내부 통제 강화
[ 7. 체크리스트 - 내부자 통제 ]
접근통제
- 최소 권한 원칙 (직무별 차등 권한)
- 조회 사유 입력 의무화
- 민감정보 조회 시 상급자 승인
- 일일 조회 건수 제한
- 권한 정기 재검토 (분기 1회)
로그 관리
- 개인정보 접근 기록 보관 (1년, 5만명 이상 2년)
- 월 1회 이상 점검 (법적 의무)
- 실시간 비정상 조회 탐지
- 대량 조회, 반복 조회 자동 경고
반출 통제
- USB 차단 (물리적 또는 정책)
- DLP (Data Loss Prevention) 도입
- 워터마크 적용
- 화면 캡처 방지
- 출력 통제
협력업체 관리
- 보안 교육 (연 4회 이상)
- 법적 구속력 있는 서약서
- 접근 권한 최소화
- 별도 로그 점검 (월 1회)
- 계약서에 보안 의무 및 위반 시 손해배상 조항 명시
교육 및 감사
- 연 1회 이상 개인정보 보호 교육
- 내부자 유출 처벌 사례 공유
- 익명 신고 채널 운영
- 내부 감사 (분기 1회), 외부 감사 (연 1회)
[ 8. 관련 법령 ]
신용정보법
- 제32조 (개인신용정보의 관리)
- 제50조 (벌칙 - 개인신용정보 누설, 5년 이하)
- 제52조 (과태료 - 5천만원 이하)
개인정보보호법
- 제29조 (안전성 확보 조치)
- 제34조 (개인정보 유출 통지)
- 제70조 (벌칙 - 개인정보 누설, 5년 이하)
- 제71조 (벌칙 - 안전조치 위반, 2년 이하)
정보통신망법
- 제28조 (기술적 조치)
- 제48조 (벌칙 - 5년 이하)
형법
- 제356조 (업무상 배임, 10년 이하)
안전성 확보조치 기준
- 제4조 (접근통제)
- 제5조 (접속기록의 보관 및 점검)
[ 학습 정리 ]
카드3사 사건에서 배운 점
- 1억 400만 건 유출은 국내 역사상 건수 기준 최대 규모
- 협력업체 직원과 신용정보회사 직원 공모로 발생
- 정당한 권한 악용으로 1개월간 탐지 못함
- 접근통제 미흡 (무제한 조회), 로그 점검 안 함, USB 차단 안 됨
- 협력업체 직원 관리 부실이 핵심 원인
- 내부자 유출은 징역 3년 6개월 실형 (엄중 처벌)
- 회사도 안전조치 의무 위반으로 과징금 57억원
- 최소 권한 원칙 필수 (직무별 필요한 정보만)
- 로그 실시간 모니터링 필수 (대량, 반복 조회 자동 탐지)
- USB 차단, DLP, 워터마크 필수
- 협력업체도 정규직과 동일한 보안 기준 적용
- 법 개정 계기 (과징금 상향, 내부 통제 강화)
- 사전 투자 20억원으로 600억원 손실 예방 가능 (30배 차이)