국회 정무위원회가 신용카드 대량유출 사태와 관련, 전체회의를 23일 열었다.
이 자리에는 <신제윤> 금융위원장, <최수현> 금융감독원장을 비롯, 이번에 문제가 된 카드회사 3사 대표 등이 사건 현황 보고를 위해 참석했다.
금융당국 및 카드사 수장들에게 이번 사건의 현황 및 진행상황을 듣고 대책을 논의하기 위해 열린 이 자리는 시작부터 순탄치 않았다. <롯데카드> 측과 <금융감독원> 측이 서로 다른 이야기를 했기 때문이다.
박상훈 <롯데카드> 사장은 외주용역업체인 KCB가 사용했던 PC 두 대 모두에 대해 보안프로그램을 설치했다고 주장했다.
“<농협카드>와 <국민카드>는 외주사에게 보안프로그램을 풀어줬다고 했는데, <롯데카드>는 어떤가?”
- <이종걸> 민주당 의원
“풀어주지 않았다”
- <박상훈> 롯데카드 사장
“외주사 직원이 알아서 풀었다는 의미인가?”
- 이종걸 의원
“제가 알기로는 범인이 거의 해커 수준이다. 보안프로그램은 제대로 작동되고 있었다”
- 박상훈 사장
“보안프로그램 자체가 부실한 건가, 보안수준이 상당히 돼있는데도 해커 수준의 능력에 의해 푼 것인가”
- 이종걸 의원
“롯데카드에 컴퓨터가 2대 있었는데 두 대 다 풀어준 게 아니고 하나는 보안프로그램 설치가 안 된 상태였다.
나머지 2개사(농협BC카드, KB국민카드)는 보안규정을 지켰다는 점이 중요하다.
2개사는 외부인에 대해 USB 활용을 못하게 했고 컴퓨터 접근도 차단시켰다”
- 최수현 금융감독원장
“현재 금감원 IT 검사 조사가 진행 중이고 어떻게 유출됐는지 확인되지 않았다.
두 대의 PC에 보안프로그램이 다 깔려 있었는데 프로그램이 나중에 풀렸다고 생각한다”
- 박상훈 사장
“롯데카드의 경우 KCB 직원이 PC 두 대를 사용했다. 한 대는 작업용이고, 한대는 문서편집용이었다.
작업용으로 사용하던 PC에는 보안프로그램을 설치했지만 문서작성용 PC 한 대는 보안프로그램이 설치되지 않았다
롯데카드가 KCB 직원에게 자료를 주면서 데이터를 변환하지 않고 실데이터를 모두 주니까 KCB 직원이 일단 보안프로그램 설치된 PC로 서버에 접속해서 고객정보를 PC에 다운받았다.
그 다음 보안프로그램이 설치되지 않은 PC에 연결해서 USB를 꽂은 다음 정보를 빼내는 수법으로 정보가 유출된 것이다”
- 최수현 원장
“죄송하다. 제가 알기로는 보안프로그램이 다 깔렸다고 보고 받았다. 나중에 보안프로그램이 깔리고 난 다음에 풀었다는 소리만 들었다. 현재 감독당국에서 조사 중에 있다”
“대책을 찾기 위해 마련된 자리인데, 사실관계조차 제대로 확인할 수 없으니 무슨 논의가 되겠는가.
정확한 사실관계를 파악한 후에 진행할 수 있도록 조치해 달라”
- <박대동> 새누리당 의원