한겨레

[한겨레] GS칼텍스 고객정보 유출

회사쪽 "접근 한정돼 있고 해킹흔적 발견안돼" 해명

사후추적뿐…사전 정보유출 막을 제도적 장치 없어

1천만여명에 이르는 역대 최대 규모의 고객 정보 유출 사건은 기업들의 허술한 보안 의식을 그대로 보여준다. 지에스칼텍스는 5일 긴급 기자회견을 열어 진화에 나섰지만, 해명에도 불구하고 석연하지 않은 구석이 많다.

■ 어떤 내용 남겼나

지에스칼텍스 쪽은 회사가 보유한 고객 명단과 시디 명단에 대한 대조 작업을 벌인 결과, 98%의 일치율을 보였다고 밝혀, 보너스카드 회원 정보 유출임이 최종 확인됐다. 지에스칼텍스를 포함해 정유사들은 마케팅 수단으로 활용하기 위해 경쟁적으로 고객 정보를 수집해 왔다. 고객들이 개인 정보를 적어내면 이른바 '마일리지'를 적립해주고, 경품 등을 제공하는 식이다.

문제는 보너스카드에 가입하면서 성명과 주민등록번호는 물론, 전자우편과 휴대폰 전화번호까지 적어야 한다는 점이다. 이름과 주민등록번호 도용, 전화번호 등을 통해 고객들이 금융 사기나 보이스피싱과 같은 원치 않는 피해를 입을 수도 있는 것이다. 지에스칼텍스 쪽은 아직 피해 신고는 들어오지 않았다고 밝혔지만, 행여라도 이번에 발견된 시디가 시중에 유통됐다면 피해 규모는 상상하기조차 어렵다.

■ 어떻게 유출됐나

정보 유출 경로에 대해 지에스칼텍스 쪽은 "수사 과정을 지켜봐야 할 것"이라며 신중한 태도를 보였다. 김현철 지에스칼텍스 아이티(IT) 기획팀장은 "아직까지 해킹 흔적은 발견되지 않았다"고 밝혔다. 내부 소행 가능성에 대해서도 김 팀장은 "고객 데이터베이스 접근 가능 인력은 12명으로 한정돼 있으며, 단독 작업이 아니라 관련 부서 팀장들이 트래킹(추적)을 한다"고 말했다.

그러나 이런 해명은 설득력이 떨어진다. 자료 백업 등의 목적으로 회원 정보를 다른 저장 장치에 잠시 옮겨놓을 수는 있지만, 데이터베이스 형태의 파일을 굳이 일반인들이 흔히 사용하는 엑셀로 변환하는 일은 거의 없다. 유통 목적으로 의도적인 정보유출을 했을 가능성을 배제할 수 없는 대목이다.

회사는 관리 소홀 책임도 벗어날 수 없다. 개인 정보 관리 인력에 대해 서약서를 받는 것과 로그인 흔적을 통한 사후 추적을 빼놓으면, 실제로 사전에 정보 유출을 막을 수 있는 제도적 장치는 별로 없어 보인다.

단정할 수는 없지만 마케팅 행사나 텔레마케팅 과정에서 고객 정보가 새나갔을 가능성도 있다. 지에스칼텍스 쪽은 "5만~10만명 정도의 명단이기 때문에 대규모 유출은 있을 수 없다"고 밝혔다. 그러나 이번 사건과 무관하다고 할지라도 고객 정보가 유출될 수 있는 경로는 널려 있는 셈이다.

■ 어떻게 모았나

우리나라 성인 인구의 3분의 1이 넘는 고객 정보를 어떻게 수집했냐는 의문도 제기할 수 있다. 더욱이 장관과 청와대 수석, 국정원과 경찰 수뇌부의 정보도 들어 있다. 이에 대해 지에스칼텍스 임원은 "1999년부터 보너스 회원제를 운영해왔는데, 고객 정보가 한 번이라도 등록돼 있으면 다 갖고 있는 것"이며 "자필 서명을 받은 800만명과 온라인 회원으로 가입한 400만명으로 구성돼 있다"고 해명했다. 또 고위 공무원들의 정보에 대해서는 "(이번 사건으로) 그 사람들이 우리 고객이라는 것을 처음 알았다"고 밝혔다. 이용인 기자 yyi@hani.co.kr

세상을 보는 정직한 눈 <한겨레> [ 한겨레신문 구독| 한겨레21 구독]

ⓒ 한겨레신문사, 무단전재 및 재배포 금지

<한겨레는 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다.>