2014년 1월, 대한민국의 주요 신용카드 3사에서 약 1억 건이 넘는 고객 개인정보가 유출된 사상 최악의 금융 보안 사고. 단순 해킹이 아니라, 보안을 담당해야 할 신용평가사 직원이 USB로 정보를 빼돌려 대출 중개업자에게 팔아넘긴 인재였다. 사건 발생 후 한동안 고객들이 카드를 해지하거나 재발급 받기 위해 은행 창구로 몰려들어 업무가 마비되는 뱅크런 급의 사태가 벌어졌다.
신용평가사 KCB의 차장 박 모 씨는 카드사의 위조·변조 탐지 시스템(FDS) 개발 프로젝트를 총괄하고 있었다. 그는 카드 3사의 고객 정보를 USB에 담아 유유히 빼돌렸다.
KB국민카드: 5,300만 건
롯데카드: 2,600만 건
NH농협카드: 2,500만 건
도합 1억 건이 넘는 정보가 털렸으며, 중복을 제외해도 피해자는 2,000만 명에 육박했다. 사실상 경제 활동을 하는 대한민국 국민 전원의 정보가 털린 셈이다. 유출된 개인정보도 이름, 주민등록번호, 전화번호, 주소를 비롯해 카드 번호, 유효 기간, 신용 등급, 연 소득, 타사 카드 보유 현황까지 광범위한 개인정보와 금융정보가 유출되었다. 심지어 사망자의 정보는 물론, 해당 카드사에 가입한 적이 없어도 제휴 은행의 거래 실적이 있으면 정보가 공유되어 털렸다.
또한 당시 일각에서는 카드 비밀번호나 CVC 값까지 유출된 것이 아니냐는 루머와 의혹이 제기되어 큰 혼란을 낳았으나, 감독당국과 카드사는 이러한 민감 정보 유출은 없었다고 발표했다.
사태 초기, 카드사들은 정보가 유출되었는지 확인하라며 조회 사이트를 만들었다. 그런데 조회를 하려면 이름, 생년월일, 성별, 전화번호 등 개인정보를 또 입력해야 했다. 안 그래도 털려서 화가 나는데, 확인하려고 내 정보를 또 바쳐야 하냐는 비판이 쏟아졌다. 거기다 조회하는 사이트의 보안이 허술해서 2차 피해가 일어나는 것 아니냐는 문제도 제기됐다.(1)
KB금융지주·국민은행·KB국민카드 임원진이 일괄 사의를 표명했고, NH농협카드 사장 등 금융권 최고경영진이 줄줄이 사퇴했다. 금융당국은 카드 3사에 대해 3개월간 신규 영업 정지라는 중징계를 내렸다.
이 사건을 계기로 주민등록번호 수집이 원칙적으로 제한되고, 아이핀과 휴대폰 인증 등 대체 본인확인 수단 사용이 확대되는 등 개인정보보호법과 관련 규제가 크게 강화되었다. 또한 유출된 정보가 대출·카드 권유 전화 등에 실제로 악용된 사례가 드러나면서, 금융권 텔레마케팅에 대한 규제가 한동안 크게 강화되고 일부 영업이 일시 중단되었다.
