카드사에서 유출된 개인정보가 이미 유통되고 있는지를 둘러싼 논란이 가중되고 있다. 정부와 검찰은 “유출자로부터 정보가 담긴 원본을 압수했으며, 현재까지 불법 정보 유통에 따른 2차 피해도 없다”고 단언하고 있다. 반면 정보기술(IT) 전문가들은 “이동식 저장장치(USB)에 저장된 정보는 이미 여러 번 복사됐음에 틀림없다”며 “정부의 인식이 안일하다”고 비판하고 있다.

정부 "모든 자료 압수…거래 흔적 없어" vs 보안업계 "디지털 정보는 회수 안돼"
신용카드 3개사에서 유출된 고객정보가 이미 시중에 나돌고 있다는 일각의 지적에 대해 정부는 유통 가능성을 강하게 부인하고 있다. 신제윤 금융위원장은 재발 방지 대책 발표(22일), 국회 정무위원회 긴급 보고(23일) 등 기회가 있을 때마다 고객정보가 외부로 빠져나가지 않았다고 강조했다.

정부가 유통이 없다고 확신하는 근거는 크게 다섯 가지다. 먼저 고객 정보를 유출한 코리아크레딧뷰로(KCB) 직원과 정보를 구매한 대출광고업자, 대출모집인 등 관련자로부터 원본파일과 복사파일이 담긴 이동식 저장장치(USB)와 하드 디스크를 모두 압수한 점이다. 검찰은 피의자의 이메일과 계좌추적을 통해서도 추가유통의 흔적을 발견하지 못했다고 발표했다. 정보를 판매했다면 거래와 관련한 내용이 있어야 하는데 피의자와 주변인들의 통장까지 샅샅이 분석했지만 기록이 없었다는 설명이다. 이에 따라 김형웅 법무부 차관은 “압수물과 피의자에 대한 정밀 조사 결과 추가 유출 정황이 확인되지 않았다”며 “추가 유출은 없다”고 단언했다.

정부는 카드 정보 유출사고가 발생한 이후 단 한 건의 피해도 확인되지 않았다는 점 또한 유통을 부인하는 근거로 든다. NH농협카드의 경우 정보 유출 시기는 2012년 12월이다. KB국민카드도 작년 6월에 고객정보가 새나갔다.

박종서 기자 cosmos@hankyung.com

정부 "모든 자료 압수…거래 흔적 없어" vs 보안업계 "디지털 정보는 회수 안돼"
“디지털 데이터에 ‘회수’란 있을 수 없습니다.” (임종인 고려대 정보보호대학원장)

신용카드 3사 개인정보 유출로 인한 2차 피해를 우려할 필요가 없다는 정부 주장을 보안업계가 정면 반박하고 나섰다. 디지털 정보는 복제를 통해 퍼져나가기 때문에 피해 확인조차 불가능하다는 것이다. 앞서 신제윤 금융위원장은 지난 23일 “유출된 고객정보가 전량 회수돼 피해 가능성이 전혀 없다”며 “사고 발생 이후 1년이 지나도록 한 건의 피해도 확인되지 않았다”고 말했다.

임 원장은 “디지털 정보에 회수라는 표현을 쓰는 것은 부적절하다”며 “복제를 통해 무한 재생산할 수 있기 때문에 ‘원본’과 ‘사본’의 구분에 의미가 없는 것이 디지털”이라고 말했다. 임 원장은 “피의자와 주변인 계좌를 추적한 결과를 갖고 정보가 새 나가지 않았다고 판단하는 건 속단”이라며 “정보를 누구에게 얼마만큼 넘겼는지는 유출 당사자인 코리아크레딧뷰로(KCB) 직원밖에 모르는 것”이라고 덧붙였다.

김명주 서울여대 정보보호학과 교수도 “금융당국의 회수 발언은 틀린 말”이라고 강조했다. 그는 “실물이면 개수를 따지는 방식 등으로 회수 여부를 판단하는 것이 가능하겠지만 디지털은 복사했을 때 원본에 복사 여부 기록이 남지 않는다”고 설명했다.

김보영 기자 wing@hankyung.com