광주 서부경찰서는 4일 서울·경기 지역에서 신용카드 결제기를 판매·관리하는 모 업체에서 카드 결제정보와 고객 개인정보가 유출된 정황을 확보하고 관리자인 최모(39)씨를 서버 보안조치를 하지 않은 혐의(개인정보보호법 위반)로 불구속 입건했다. 아울러 해당 업체에 긴급보안조치를 하도록 통보해 서버 접근을 제한하도록 했다.
최씨는 카드결제기 가맹점에서 고객들이 신용카드로 결제한 정보 450만건과 개인정보 750만건 등 모두 1,200만건의 정보를 별다른 보안조치 없이 방치한 혐의를 받고 있다.
경찰 조사에서 구글 검색만으로도 관리자 권한에 접근할 수 있도록 방치한 서버에서는 1만200여건의 개인정보를 엑셀 파일 형태로 손쉽게 빼낼 수 있는 것으로 드러났다.
실제로 미국의 한 IP 주소에서 지속적으로 해당 서버에 접속해 개인정보를 빼간 것으로 경찰은 보고 있다.
업체는 고객정보가 담긴 서버를 관리하면서 표준보안 프로그램을 제대로 시행하지 않아 개인정보를 유출한 것으로 알려졌다.
경찰은 유출된 카드결제기 정보에는 고객의 신용카드 결제정보와 이름, 주민등록번호, 전화번호 등이 담겨 있어 2차 피해가 우려된다고 설명했다.
해당 업체의 카드결제기는 주로 중소 규모의 체인점 등이 가입해 이용했다. 이번 유출에는 이 체인점들이 관리하던 포인트정보 등 고객정보도 다수 포함돼 있다.
앞서 지난 2009년 일부 체인점의 금전등록기에서 고객정보가 유출되는 사고가 발생하면서 금융감독원과 여신금융협회 공동명의로 2010년 8월 'POS 가맹점 단말기 보안 강화' 조치가 내려졌지만 이번에 다시 관리에 구멍이 뚫린 것으로 확인됐다.