하나sk카드, 고객신용 정보관리 부실 덩어리

'고객이 만족하는 경영을 하겠다.'

하나SK카드 정해붕 대표의 경영철학이다. 정 대표는 고객가치 최우선의 원칙 아래 회사의 근간은 고객임을 가슴 깊이 새기겠다고 천명했다.

하지만 하나SK카드의 고객관리에는 구멍이 뻥 뚤렸던 것으로 나타났다. 고객정보가 주먹구구식으로 관리되었던 것이다.

금융감독원은 최근 하나SK카드에 대한 종합 검사결과를 발표하면서 기관주의와 함께 과태료 500만원을 부과했다. 이와함께 관계 직원에 대해서는 면직 1명과 감봉 3명 견책 4명의 징계조치를 취했다. 이는 지난해 하나SK카드의 고객 개인정보 유출 사건이 터진 이후 이 회사의 시스템을 집중 점검한 결과다.

하나SK 신사업팀 직원이었던 A씨는 보험상품 제공 등 텔레마케팅 업무를 위해 2011년 5월25일부터 9월14일까지 고객정보관리팀으로부터 고객정보 파일(총 9만733건)을 두차례 제공받았다. A씨는 주민등록번호와 전화번호, 주소 등이 적힌 이 파일의 암호를 풀어 자신의 회사 이메일로 전송했다. 이어 자택에서 회사메일에 접속해 이 중 1개 파일(5만1723건)을 노트북에 다운받은 뒤 정보제공을 부탁한 제3자에게 이메일로 전송하는 등 개인신용 정보를 부당하게 유출했다.

금융감독원 관계자는 이 사건과 관련, "신용정보의 이용 및 보호에 관한 법률 등에 따르면 금융기관은 구체적인 신요정보전산시스템에 대한 보호대책을 수립해야 하는데 하나SK카드는 이 점에 소홀했다"고 밝혔다.

우선 부서간 고객정보 관련 내부시스템이 구축돼 있지 않은 것으로 조사됐다. 고객정보 사용자는 고객정보 파일 요청시 부서 내 팀장 및 준법지원 담장자에게 사용하고자 하는 고객정보명, 사용목적, 보유일자, 폐기예정일 등을 시스템에 입력 후 승인을 요청해야 한다. 또 고객정보가 포함된 파일을 업무목적상 타 부서 직원에게 제공할 경우에는 제공받을 직원이름, 전송목적, 유효기간을 외부제공시스템에 입력한 뒤 소속팀장의 사전승인을 받도록 돼있다. 하지만 하나SK카드는 이런 시스템이 없어 이메일이나 구두로 고객정보 파일을 요청했고 소속팀장의 승인도 받지않았다.

주요 고객 정보의 변환도 이뤄지지 않았다. 금융기관은 이용자 정보의 조회-출력 및 테스트 시 주민등록번호 등의 뒷자리를 부호로 처리하는 등 이용자 정보를 변환해야 하는데도 이를 지키지 않았다.

직원들이 고객정보 파일을 저장하는데도 통제가 제대로 이뤄지지 않은 것으로 나타났다. 개인용 컴퓨터에는 중요 전산자료를 보관해서는 안되며 불가피하게 개인용 컴퓨터에 보관할 필요가 있는 경우에는 책임자 승인을 받아야 한다. 그런데 하나SK카드의 경우 SBC(Server based computing)에서 개인용 컴퓨터에 고객정보 파일을 저장하는 경우에는 팀장의 승인을 받았으나, 파일을 제공받은 직원이 다시 본인 컴퓨터에 보관시에는 별도의 책임자 승인을 얻지않았다고 금감원은 지적했다.

이밖에 이 회사의 준법감시인(임원)과 감사팀은 고객정보 요청 및 제공을 위한 시스템이 구축돼 있지않고 고객정보 파일의 암호를 푸는 절차가 부적정하게 운용되고 있음에도 이를 파악하지 못했다. 한 마디로 고객신용정보 관리업무가 총체적 부실을 드러낸 것이다.

하나SK카드 측은 이에 대해 "금융감독원의 지적사항을 모두 개선했다. 정보보호팀도 만들어 철저하게 고객들의 정보를 관리하고 있다"고 밝혔다. 송진현 기자 jhsong@sportschosun.com