untitled



Similar documents
회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제

효진: 노래를 좋아하는 분들은 많지만, 콘서트까지 가시는 분들은 많이 없잖아요. 석진: 네. 그런데 외국인들은 나이 상관없이 모든 연령대가 다 같이 가서 막 열광하고... 석진: 지 드래곤 봤어?, 대성 봤어?, 승리 봤어? 막 이렇게 열광적으로 좋아하더라고요. 역시.

- 2 -

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

hwp

152*220

연구노트

»êÇÐ-150È£

0.筌≪럩??袁ⓓ?紐껋젾 筌

!

안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정] 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규

178È£pdf

041~084 ¹®È�Çö»óÀбâ

....pdf..

( 단위 : 가수, %) 응답수,,-,,-,,-,,-,, 만원이상 무응답 평균 ( 만원 ) 자녀상태 < 유 자 녀 > 미 취 학 초 등 학 생 중 학 생 고 등 학 생 대 학 생 대 학 원 생 군 복 무 직 장 인 무 직 < 무 자 녀 >,,.,.,.,.,.,.,.,.

기본소득문답2

º»ÀÛ¾÷-1

¿©¼ºÀαÇ24È£

01-02Àå_»ç·ÊÁýb74öÁ¤š

2±Ç3Æí-1~4Àå_À°±³

01¸é¼öÁ¤

³»Áö_10-6

hwp

41호-소비자문제연구(최종추가수정0507).hwp

레이아웃 1

레이아웃 1

2016년 신호등 10월호 내지.indd

춤추는시민을기록하다_최종본 웹용

와플-4년-2호-본문-15.ps

Ä¡¿ì_44p °¡À» 89È£

750 1,500 35

CD 2117(121130)

SIGIL 완벽입문



< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

금강인쇄-내지-세대주의재고찰

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

한국의 양심적 병역거부

<B3EDB9AEC0DBBCBAB9FD2E687770>

33 래미안신반포팰리스 59 문 * 웅 입주자격소득초과 34 래미안신반포팰리스 59 송 * 호 입주자격소득초과 35 래미안신반포팰리스 59 나 * 하 입주자격소득초과 36 래미안신반포팰리스 59 최 * 재 입주자격소득초

歯이


ÃѼŁ1-ÃÖÁ¾Ãâ·Â¿ë2

Á¦190È£(0825).hwp


.....hwp

내지-교회에관한교리

µ¶¸³Á¤½Å45È£


1 [2]2018개방실험-학생2기[ 고2]-8월18일 ( 오전 )-MBL활용화학실험 수일고등학교 윤 상 2 [2]2018개방실험-학생2기[ 고2]-8월18일 ( 오전 )-MBL활용화학실험 구성고등학교 류 우 3 [2]2018개방실험-학생2기[

¾Æµ¿ÇÐ´ë º»¹®.hwp

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

ºñ»óÀå±â¾÷ ¿ì¸®»çÁÖÁ¦µµ °³¼±¹æ¾È.hwp

ps

해외금융계좌내지뉴

2015년9월도서관웹용



untitled

2002report hwp

Red Dot Award: Communication Design 에 참 하기 결정해 주셔서 기쁩니다. "성공을 위한 안내서"는 등 절 에 대해 안내 니다. 지체 말고 언 든지 연 해 주 오. Red Dot 은 등 절 또는 등 후 절 를 기꺼 와드 겠습니다. 01 Int


내지(교사용) 4-6부

2ÀåÀÛ¾÷

2014학년도 수시 면접 문항

기철 : 혜영 : 기철 : 혜영 : ㄴ ㅁ ㅇ ㄴ ㅁ ㅇ ㅇ ㄴ ㅁ ㅇ

CT083001C

03 ¸ñÂ÷


Vision Mission T F T F T F T

**09콘텐츠산업백서_1 2

< E5FBBEABEF7C1DFBAD0B7F9BAB02C5FC1B6C1F7C7FCC5C25FB9D75FB5BFBAB05FBBE7BEF7C3BCBCF65FA1A4C1BEBBE7C0DABCF62E786C73>

소식지수정본-1

레이아웃 1

1960 년 년 3 월 31 일, 서울신문 조간 4 면,, 30

프로야구 선수들의 선수에이전트에 관한 인식조사 연구

Drucker Innovation_CEO과정

Jkafm093.hwp

Microsoft PowerPoint - MonthlyInsighT-2018_9월%20v1[1]

<5BB0EDB3ADB5B55D B3E2B4EBBAF12DB0ED312D312DC1DFB0A32DC0B6C7D5B0FAC7D02D28312E BAF2B9F0B0FA20BFF8C0DAC0C720C7FCBCBA2D D3135B9AEC7D72E687770>


제150회 동두천시의회(제2차정례회)행정사무감사특별위원회 회의록 제 6 호

60

(012~031)223교과(교)2-1

2003report hwp

(중등용1)1~27

2006

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

<34BFF9C8A320B4DCB8E9B0EDC7D8BBF32E706466>

1

Çʸ§-¾÷¹«Æí¶÷.hwp.hwp


1

아~ 대한민국

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

DocHdl2OnPREPRESStmpTarget

Windows 8에서 BioStar 1 설치하기

º´¹«Ã»Ã¥-»ç³ªÀÌ·Î

본회의-9대-240회-2차.hwp

Transcription:

제322회-정무국정조사조사록(2014년2월7일) 1 제322회국회 (임시회) 개인정보대량유출관련실태조사및재발 방지를위한국정조사정무위원회조사록 개인정보대량유출관련실태조사및재발방지를위한국정조사(정무위원회) 개인정보유출국정조사조사록 5 국 회 사 무 처 피조사기관 코리아크레딧뷰로 일 시 2014년2월7일(금) 장 소 코리아크레딧뷰로 회의실 (15시34분 현장검증개시) 반장 박민식 좌석을 정돈하여 주시기 바랍니 지금부터 국정감사 및 조사에 관한 법률 등 관 련 법률에 따라 코리아크레딧뷰로주식회사에 대 한 현장검증을 실시하겠습니 지난 1월 NH농협카드, KB국민카드, 롯데카드 등 3개 카드회사에서 1억 건이 넘는 고객 정보가 불법 수집되어 유출되었다는 검찰의 중간 수사 결과 발표가 있었습니 이는 이곳 회사의 시스 템 개발 프로젝트의 총괄 관리 담당 직원이 불법 적으로 수집하여 유출한 것으로 파악되고 있습니 오늘 현장검증은 KCB 사장의 경과보고 후 이 에 대한 위원님들의 질의를 실시하는 순서로 진 행하겠습니 그러면 김상득 사장께서 지금 오전부터 죽 해 왔기 때문에 간략히 압축적으로 경과보고해 주시 기 바랍니 존경하는 정 무위원회 박민식 반장님, 그리고 위원님 여러분! 정보 보안을 회사 존립의 관건으로 삼고 국민 의 정보를 생명같이 여기기로 다짐했던 저희 회 사 직원의 범죄 행위가 이번 카드사 정보 유출사 고의 발단이 된 점에 대하여 국민 여러분과 위원 님들께 머리 숙여 사과드립니 사장으로서 한 없이 부끄럽고 죄송하고 참담한 심정으로 오늘 보고를 드립니 지금부터 금번 사고와 관련한 그간의 경위에 대해 우선적으로 총괄 현황을 보고드리고 세부 질문에 대하여는 거짓 없이 성의를 다하여 답변 드리겠습니 개인정보 대량유출 관련 실태조사 및 재발방지 를 위한 국정조사 경과보고 1쪽입니 우선 회사 개요에 대해서 잠깐 설명드리겠습니 저희 회사는 2003년 김기식 위원 아니, 지금 간사께서 이미 잠깐만요. 예. 김기식 위원 간사께서 이미 지적을 하셨잖아 요. 그러니까 앞의 일반 배경은 하지 마시라고요. 예, 그러면 10페이지 개인정보 유출 관련 경위부터 보고를 드리겠습니 반장 박민식 간략하게 보고만 해 주세요. 예. 이번에 사고가 난 것은 저희 FDS컨설팅입니 이 컨설팅은 해외에서 상당히 발전한 고차원의 사기방지시스템으로 국내에서는 저희 회사가 2012년부터 사업을 개시를 했습니 FDS시스템은 신용카드 사용 시 이상거래 또는 부정사용을 탐지하기 위한 시스템으로 신용카드 거래 시에 통계적으로 분석된 사기 패턴에 따라 주의경보가 나타나는 것입니 현재 국내에서는 외국산 솔루션 3개와 국산 솔 루션 1개가 운영되고 있으며 국산으로는 저희 회 사 시스템이 유일합니 밑의 표에서 보시는 바와 같이 저희 회사 제품 은 삼성카드, 농협카드, 국민카드, 롯데카드, 신한 카드, 5개가 사용하고 있고, 나머지 5개에 대해서 는 외국산 제품이 사용되고 있습니 11페이지입니 FDS컨설팅 프로세스는 저희들이 경쟁 입찰에 참가해서 수주를 하게 되고 계약 체결을 한 경우

2 제322회-정무국정조사조사록(2014년2월7일) 에 투입 인력에 대해서는 사전에 프로필을 제공 하고 고객사의 확정을 받는데 이 과정에서 특정 인력을 요구하는 경향이 많이 있습니 프로젝트 착수 전에는 위탁회사의 보안정책 교 육과 위탁회사의 보안정책 준수 서약서 제출과 프로젝트 수행 PC가 반출되는 경우에 승인을 하 고 포맷을 해서 위탁회사에 보내게 됩니 그런 경우에 위탁회사에서는 KCB 보안프로그램을 삭 제하고 위탁회사의 프로그램을 설치하게 되어 있 습니 프로젝트 수행은 저희 직원들이 위탁회사에 상 주를 하면서 위탁회사의 관리 통제를 받고 업무 를 수행을 하게 됩니 수시로 저희 회사 해당 임원이나 부서장이 컨설팅 현장 방문을 통해서 보안의식 교육을 실시하고 있습니 다음 12쪽입니 박 차장 관련 FDS 프로젝트 현황입니 박 차장과 관련된 컨설팅 프로젝트는 총 6건입 니 이 중에서 박 차장이 참여한 프로드(Fraud) 프로젝트는 농협카드, KB국민카드, 롯데카드, 삼 성카드, 신한카드 등 5건입니 표에서 보시는 바와 같이 박 차장이 참여한 것은 5개이고요. 이 중에서 주로 저희들이 여기서 말씀드릴 수 있는 것은 실데이터를 받은 데가 세 군데, 이번에 사 고가 난 데이고, 그다음에 가상데이터를 받은 데 는 삼성카드와 신한카드가 되겠습니 다음 13페이지입니 박 차장 정보유출 현황에 대해서 현재 재판이 진행 중이고 감독원 검사 중이고, 사실 저희는 현재까지 정확한 이유나 방법에 대해서는 아직 파악을 하지 못하고 있습니 다음 14쪽입니 그렇지만 저희가 컨설팅 업무에서 정보유출 사 고가 발생하는 경우를 추정을 해 보면 첫 번째로 직원들의 보안의식이 문제가 되겠고요. 두 번째 는 PC보안 프로그램이 설치됐느냐 여부, 세 번째 는 외부 저장매체인 USB가 사용됐는지의 여부, 그리고 주민번호가 사용됐는지의 여부, 다음으로 는 여러 가지 보안 수칙이 있는데 이것에 대한 확인이나 점검이 철저히 됐는지에 대한 여부, 이 런 부분에서 사고가 났을 것으로 지금 짐작을 하 고 있습니 다음 박 차장 채용 경위에 대해서 보고를 드리 겠습니 박 차장은 98년 이후 KCB 입사 전까지 6개 IT 회사에 근무한 경력이 있습니 주로 IT, 보 안 관련 업무, FDS 솔루션 개발 등의 경험이 있 습니 업계 시장에서 전문가로 평판을 받고 있 습니 채용 경위는 2012년 상반기에 모든 직무에 걸 쳐 시행한 경력자 공개 채용 시에 지원을 했고 233명 지원 중 11명 합격자 중에서 박 차장도 포 함이 됐습니 그래서 저희가 12년 5월 1일 날 채용을 했습니 채용 과정에서는, 일단 저희 채용 프로세스에 서 외부 기관 인적성 검사가 있습니 적합 판 정을 받았고 시장에서의 평판도 조사에서도 상당 히 전문가로 인정받는 좋은 평가를 받고 있었습 니 다음 페이지입니 16쪽입니 향후 대책으로는 우선 정보유출 2차 피해 방지 를 위해서 전 국민 대상 금융명의보호서비스를 2 월 13일부터 저희들이 무상으로 제공하기로 이미 발표를 했습니 시간이 좀 걸리는 이유는 전 국민을 대상으로 하기 때문에 서버 용량을 지금 확장하기 위해서 그런 작업들이 진행이 되고 있습니 그리고 이번 사고를 교훈 삼아 외부 업무에서 의 보안 강화가 한층 더 강화되어야 되는데 첫 번째로 컨설팅 회사와 공동으로 보안 관리를 하 는 체제로 전환을 해야 되겠다고 생각을 하고 있 습니 지금까지는 위탁회사가 보안관리를 전담했으나 금번 사건을 계기로 위탁회사의 보안관리에 문제 가 있을 시에 KCB도 역시 치명적인 손해가 발 생할 수 있기 때문에 앞으로는 이 부분을 계약서 에 명기하도록 하기로 저희들이 생각을 하고 있 습니 두 번째는 위탁회사로부터 주민등록번호가 포 함된 데이터를 저희들이 수령을 거부하겠습니 다음은 위탁회사와 공동으로 컨설팅 업무 현장 에서의 일일보안결산제도를 운영을 하도록 이것 또한 계약서에 명문화하도록 하겠습니 은행에 서의 시재검사와 같이 매일 매일의 확인 점검이 필요하다는 것을 이번에 느꼈습니 다음은 내부 보안관리 강화입니 보안업무 전반에 대해서 사장이 직접 점검, 확 인하는 체제로 하겠습니 그리고 KCB 내외부 업무 정보보호 전반에 대

제322회-정무국정조사조사록(2014년2월7일) 3 해서 외부 보안전문가 그룹으로부터 저희들이 객 관적인 진단을 받아 보고 새로운 문제점을 찾겠 습니 그리고 무엇보다 정신 재무장을 통한 확고한 보안의식을 확립토록 하겠습니 그리고 조직과 인력을 더 확충하도록 하겠습니 이상입니 반장 박민식 다음은 위원님들의 질의가 있겠 습니 김영환 위원님 질의해 주시기 바랍니 김영환 위원 이번의 사건이 있기 전까지는 이 런 회사를 잘 몰라서 또 오늘 여기 와 보니 까 새로운 사실을 많이 알게 됐고요. 이번 사건을 통해서 이 회사가 제일 많이 알려 졌겠습니다, 국민들한테는? 그렇지 않겠어요, 역 설적이게도, 그렇지요? 예, 그럴 것 같습니 김영환 위원 그러니까 일반 업무는 신용평가 도 하고 여러 가지 일을 하고 계시네요. 일상적 인 또 일반적인 업무는 따로 있는 것이지요? 그런데 이번에 문제가 된 것은 FDS 시스템을 개발하는 과정에 있는 것이지요? 그러니까 박 차 장이 하는 일이라는 것은 지금 FDS에 국한된 것 입니까? 예, 그렇습니 김영환 위원 그래서 그분이 지금 외부에 나가 서 컨설팅을 하는 과정에서 정보를 유출하게 된 것이지요? 예, 그렇습니 김영환 위원 그러면 지금 여기 보니까 크레딧 뷰로에 엄청난 정보가 있는데요, 내부적으로 그 렇지요? 예. 김영환 위원 3900만 명의 국민의 정보가 있고 요. 카드 개설 정보는 약 2500만, 대출 개설 정보 가 약 1300만, 연체 정보가 100만, 이렇게 엄청난 정보가 있는 것이지요? 예, 그렇습니 김영환 위원 이 회사 내의 서버에 있는 것입 니까, 이 정보가? 김영환 위원 예, 그렇습니 그러면 이 박 차장이라는 분이 이 정보에도 접근하거나 이런 정보를 활용했을 가능성은 없습니까? 예, 그런 가 능성이 있기 때문에 박 차장뿐만 아니라 저희 직 원 모두가 그런 정보에 접근해서 악용할 수 있는 소지가 있습니 그래서 저희들이 저희들만의 보안장치를 아주 특별히 강화해 놓고 있습니 그래서 잠깐 말씀드리면 개인정보를 다루는 정 보망이 따로 있고 다음에는 일반 회사 사무를 볼 수 있는 영역이 따로 지금 망이 분리되어 있습니 이러한 망이 분리된 것은 지금 현재 금융회사 로서는, 저희가 금융회사는 아니지만 금융권에서 는 유일하게 저희가 완전하게 망이 분리가 되어 있습니 그래서 개인정보를 사용할 경우에는 앞에서 보 시는 바와 같이 이런 SDT PC라는 PC로만 작업 을 하고 바깥으로 절대로 개인정보를 가져갈 수 없게 되어 있습니 민병두 위원 이게 본체예요? 예. 김영환 위원 이게 이번 사건은 보기에 따라서 는 정말 불행한 일이지만 또 개인정보에 관한 국 민적 또 금융권 전체가 경각심을 갖고 전화위복 으로 삼을 수 있는 그런 계기도 된다고 생각하는 데. 지금 이 사건이 특이한 것은 내부자에 의한 정 보유출이라는 것이 특이한 현상인 것 같습니 그동안에는 외부의 어떤 특정 세력에 의한 해킹 이나 정보유출 같은 것을 신경을 많이 썼는데 이 것을 지키거나 보호해야 될 내부자가 이것을 빼 내 갈 때 이것을 어떻게 막을 것인가 하는 문제 가 또 제기된 것이라고 생각이 되고요. 또 특히 KCB 같은 그런 일을 감시하고 보호 하는 시스템을 구축하려고 하는, 말하자면 생선 가게를 지켜야 될 분들이 생선을 훔쳐 가는 이런 일들이 벌어진 것이기 때문에 이 문제와 관련해 서도 또 아주 특이한 그런 현상이라고 볼 수 있 는데, 제가 지금 줄곧 관심을 갖고 있는 것 또 국민들이 관심을 갖고 있는 문제는 이렇게 막대 한 정보, 1억 400만 건인가요? 그게 유출이 됐는

4 제322회-정무국정조사조사록(2014년2월7일) 데 지금 우리가 믿고 있는 근거는 검찰의 발표, 검찰의 발표를 금융권이 믿고 있고 또 KCB도 믿고 있고, 그래서 이것은 2차 유출이 없고 다 회수되었고, 이렇게 지금 생각하고 있다는 말입 니 예. 김영환 위원 그런데 이게 지금 사건이 발생이 된 것은 실제로 1년이 넘었고요. 예. 김영환 위원 그렇지요? 1년이 넘는 과정 속에 금융권은 물론이고 KCB 자체도 이런 일이 일어났는지 자체를 모르 고 있었고요. 그렇지요? 예, 그렇습니 김영환 위원 검찰 발표를 보고서 안 것 아니 겠습니까? 예, 그렇습니 김영환 위원 이제 그런 상황에서 과연 이것이 한 사람의 광고업자 또 한 사람의 신용영업을 하 시는 분을 통해서만이 유출되었다는 것을 국민이 믿을 수가 없 그리고 또 일부 언론의 보도와 또 우리 국민들의 감정으로 볼 때는 이것이 지금 광범위하게 유통되고 있다 이렇게 보여지는데 이 문제에 대해서 사장은 어떤 심증을 갖고 있습니 까? 1년이 됐는데 실제로 카드사에서는 1건도 아직은 사고가 안 났 다고 하고 있고 검찰에서도 그렇게 얘기를 하고 있어서 저희들 입장에서도 현재까지는 그것을 믿 고 있습니 그리고 저희들이 또 그렇게 생각하는 것은 정 보를 갖고 있어도 그 정보의 위험성과 중요성을 알기 때문에 그 사람이 아무에게나 팔 수 있는 상황은 아니라고 생각하고 있습니 그러니까 이번에도 보면 자기가 아는 사람한테 그 정보를 넘겨준 것을 보면 저희는 정보가 무분 별하게 함부로 팔리거나 그렇지는 않을 것으로 생각을 하고 있습니 김영환 위원 그러니까 금융피해 금액이, 금전 적인 피해가 직접적으로 나타난 것은 지금 보면 없거나 아주 극소한 것 같습니다, 지금 시간이 경과했는데도 불구하고요. 그러나 이 자료가 광범위하게 유포가 돼서 마 케팅에 이용되거나 또는 스팸으로 쓰여지거나 스 미싱이나 또는 이런 여러 가지 금융사고로 발전 할 수 있는 개연성은 많고요. 2차 유출이라고 하 는 것은 돈의 피해뿐만 아니라 이것이 광범위하 게 시장에 돌아다니고 있는 것이냐 아니면 완전 히 해소됐느냐, 이것이 굉장히 중요한 문제라고 생각합니 그런 면에서 제가 볼 때는 이것은 비밀번호라 든지 CV 뭐라고 합니까? CVC. 김영환 위원 CVC 같은 게 나가지 않았기 때 문에 지금 이것이 피해로서 직접 나오는 것은 아 니지만 이 자료는 지금 엄청나게 유포되었다고 봐야 된다 또 그렇게 될 가능성과 개연성이 크 다, 이것을 밝혀내는 것이 필요하리라고 생각하 고요. 제가 한번 지금 시장에서 이것을 구입해 보려 고 하고 있습니 접촉을 하고 있어서 국정조사 과정 속에서 한번 이것이 실제 구입이 가능한지, 시중에 이게 돌고 있는지 없는지를 한번 제가 보 고 있는데, 접촉을 시도하고 있어요. 제가 지금 받는 감정으로는 이것은 지금 광범 위하게 유포되어 있다 이런 심증을 갖고 있는데 하여튼 나중에 청문회 과정을 통해서 한번 밝혀 보겠습니 반장 박민식 김영환 위원님 수고하셨습니 지금 시간이 많이 경과되어서 또 청문회가 예정되어 있고, 아까 말씀드린 것처럼 기관보고 가 있기 때문에 오늘 질의는 보안관리 실태 그리 고 유출 경위, 이 두 가지 점에 좀 초점을 맞춰 서 압축적으로 질의해 주시면 감사하겠습니 강석훈 위원님 질의해 주시기 바랍니 강석훈 위원 강석훈입니 간단하게 답해 주시면 감사하겠습니 지금 5개 회사 작업을 했는데 3개 회사는 실제 데이터를 주고 2개 회사는 가상 데이터를 줬는데 이게 왜 이렇게 된 것이라고 판단하고 계십니까? 그것은 제가 생각하기로는 주는 쪽에서 그렇게 준 것으로 알 고 있고요. 저희가 특별히 실 데이터를 달라 이 렇게 요구하지는 않습니다, 작업을 하면서. 강석훈 위원 그런데 어떤 의견에 의하면 작업 프로세스 과정상에서 꼭 실제 데이터가 필요하다 는 주장도 있습니다만 예, 실제로

제322회-정무국정조사조사록(2014년2월7일) 5 이 작업을 함에 있어서는 다른 작업하고 틀려 가 지고 상당히 많은 거래 건수 중에서 프로드 (fraud) 변수를 찾아내야 되기 때문에 양이 굉장히 많습니다, 데이터 양이. 그래서 아마 일하는 과정에서 그런 것들이 매 우 불편하다든가 또 시간이 많이 걸린다 하면 편 하게 하기 위해서 그런 데이터를 줄 수도 있다 이런 생각을 하고 있습니 강석훈 위원 그러면 실제 데이터를 요구하지 말라는, 그러니까 실제 작업에 나가서 그 회사로 하여금 실제 데이터를 요구하지 말라는 KCB 내 부의 회사 규정은 없으신 것이고요? 예, 없지만 저희들은 한 번도 실제 데이터를 프로드 하면서 달라고 하지는 않습니 강석훈 위원 그런데 그러면 박 차장만 유일하 게 그렇게 했다는 말씀이신 것이지요? 이번에 보니 까 그렇게 된 것으로 지금 현재 3개 사에서는 나 타나고 있습니 강석훈 위원 사후에 아셨다는 말씀이시고요. 예. 강석훈 위원 그다음에 아까 보면 박 차장님이 전문가라고 해서 박 차장을 요구한 회사가 있다 고 하는데 어떤 회사들이 요구했습니까? 농협하고 롯 데에서 요구했다고 제가 보고를 받았습니 강석훈 위원 농협과 롯데, 이 두 카드회사는 박 차장을 포함시켜서 작업팀을 구성하라 이렇 게 얘기를 하셨다는 말씀이고요. 예. 강석훈 위원 박 차장을 임용하실 때 인적성 검사를 하셨다고 하셨습니 예. 강석훈 위원 어느 기간 동안 얼마나 하셨습니 까? 인적성 검사 는 보통 저희가 지금 현재 전문 기업체에 의뢰를 합니 지금 대기업 한 200개 정도를 맡아서 하 고 있는 SHR이라는 기업에 저희들이 의뢰해서 외부 전문기관에서 인적성 검사 판정 결과를 받 습니 강석훈 위원 그 외부 전문기관이 인적성 하는 검사 기간이라든지 검사 시간이라든지 양이라든 지 이런 것을 개략적으로라도 말씀해 주실 수 있 나요? 금 강석훈 위원 그런 것은 지 왜냐하면 KCB 이것의 윤리 부 분은 다른 회사보다 더 중요하게 취급되어야 될 회사이기 때문에 일반적으로 통상적인 기업들이 하는 인적성 검사랑은 분명히 다를 것이라고 생 각이 되는데 저희들은 특 별히 그런 업무를 하는 사람에 관련된 그런 인적 성 검사를 한 것이 아니고, 그게 일반적으로 직 원을 채용할 때 하는 그런 인적성 검사입니 강석훈 위원 그렇다면 매우 민감한 DB를 다 루는 분들에 대해서 특별하게 어떤 그 양반의 인 적성을 검사하거나 이런 프로세스는 없다는 말씀 이시지요? 그것은 저희 들이 일단 평판조사를 하고요. 그리고 1년 동안 은 계약직 형태로 저희들이 같이 근무를 하면서 그 사람의 성향이나 능력을 판단하고 있습니 그러고 난 뒤에 괜찮다 그러면 저희들이 정규직 으로 채용하는 그런 프로세스를 운용하고 있습니 강석훈 위원 그렇지만 초기단계에서 인적성 프로그램으로 식별한 것은 없다는 말씀을 해 주 신 것으로 이해가 되고요. 강석훈 위원 쭤 보겠습니 예, 그렇습니 그리고 하나만 마지막으로 더 여 지금 KCB가 클라이언트 회사, 즉 롯데카드 회 사 등과 계약을 할 때 계약서 내용에 보안 문제 로 어떤 문제가 생기는 경우 어떻게 한다라는 조 항은 어떻게 규정되어 있습니까? 일반적으로 그런 계약서에는 항상 갑과 을이 있고 을이 다 책임을 지는 그런 일반적인 계약이 있습니 거 기에 저희들이 사실은 을의 입장에서 그것을 거 부하기가 상당히 어려운 상황이고요. 그러나 보안에 관해서는 특별히 위탁회사가 그 쪽에서 보안관리를 한다라는 서약을 저희들한테 하도록 하고 제출받고 있습니 강석훈 위원 그런데 만약에 보안 관계 어디에 서인가 문제가 생겼을 경우에는 수탁회사와 위탁 회사 중에서 어느 회사가 이것에 대해서 책임을

6 제322회-정무국정조사조사록(2014년2월7일) 지는 것인가요? 그것은 사고 를 일으킨 개인과 저희 회사가 책임을 지게 서약 에 되어 있는 데도 있고 또 개인한테만 그렇게 묻는 데도 있고 좀 차이가 강석훈 위원 그러면 지금 개인과 회사 둘 다, 지금 사고가 난 3개의 카드회사의 경우에는 개인 과 회사 어떻게 구성이 되어 있나요? 지금은 다 일 치하는 것은 아니고 개인한테도 있고 서약을 하 지 않은 일반 포괄적인 그런 계약에서 회사가 책 임지는 경우도 있고, 결국은 회사가 다 책임을 부담하는 그런 형태로 되어 있습니 강석훈 위원 예, 알겠습니 여기까지 하겠습니 반장 박민식 강석훈 위원님 수고하셨습니 다음은 강기정 위원님 질의해 주시기 바랍니 조금 전에 강석훈 위원님이 하신 것에 연이어서 좀 여쭤 보고 싶은데요. 보안에 대한 준수가 개인의 의지에 맡겨져 있 는지, 아까 업무보고 과정에서 보니까 프로젝트 수행 전에 어떤 절차를 갖는다고 그러는데 어떤 구체적인 절차를 갖습니까? 통상적으로 외부 컨설팅을 하면서 지켜야 될 이런 보안 수칙 이 저희들에게 있습니다, 규정으로. 그래서 그것 을 교육을 시키고 또 그쪽 회사에 갔을 때 그쪽 회사도 정해진 보안 규정이 있습니 그것을 다 하는데. 제가 말씀드리고 싶은 것은 사실 보안에 관한 사고는 교육으로 과연 이것을 방지를 할 수 있는 지, 그렇지 않기 때문에 결국은 사람을 못 믿어 서 여러 가지 모든 기술적 물리적 보안장치가 되어 있다고 보고요. 그러한 기술적 물리적 보 안장치가 뚫렸을 때는 아무리 교육을 한다 해도 마음을 나쁘게 먹으면 사고가 일어날 수 있는 개 연성이 있다라고 생각이 됩니 지금 사장님은 사표 수리가 되어 있습니까? 아니, 제출되어 있습니까? 사표 제출이 되어 있고 누가 수리를 합니까, 수리는? 저희는 지금 이사회에서 제가 보고를 하고, 제가 이제 사표 가 나가면 맡아 할 사람이 없기 때문에 지금 현재 임시로 차기 대표이사가 선출될 때까지 그러면 지금 사장님은 수습 여 부, 진상의 결과 여부를 떠나서 이제 예, 책임을 지고 그만두시겠다 이런 것인가요? 책임을 지기 위해서 사표를 예, 그렇습니 카드사, 금융회사에서 구상권을 청구하겠다 이런 얘기가 있는 것 같은데 그것은 어떻게 생각하세요? 현재 재판 중 이고 또 감독원 검사 중이기 때문에 저희는 그 결과에 따라야 된다고 생각을 하고 있습니 그래서 저는 특별히 다른 어떤 의견은 없습니 그러니까 그 재판 결과 KCB의 책임이 크다, 개인 책임을 넘어서 개인과 KCB의 공동 책임으로 예를 들면 가령 결정이, 판결이 나고 결론이 나고 그에 대해서 책임이 있다고 하 면 구상권이 청구되고 그러면 이 KCB의 자본금 이 500억 정도던데, 어떤가요? 이런 경우에는 그러면 뭐라고 표현해야 되 지요? 어떻게 생각하고 계세요, 전망을? 저희들이 지 금은 신문지상에 난 여러 가지 피해 규모로 봤을 때 저희 회사가 감당하기 어려운 수준인 것은 확 실합니 로 가나요? 그러니까 그랬을 때 어떤 상황으 결국은 회사가 없어지나요, 아니면 어떻 게 되는 누가 책임을 지나요, 개인이 또 구 상권을 당하나요, 회사로부터? 개인이 당한 다고 해도, 개인의 경우는 박 차장이 될 것이라 고 생각이 되고 나머지는 회사의 사용자 책임으 로서 임원들 책임인가요? 것으로 제가 알고 있습니 예, 알겠습니 그것은 아닌 마지막으로 인원이 지금, 근무 인력이 비정규

제322회-정무국정조사조사록(2014년2월7일) 7 직 포함해서 192명인데요. 이 192명이 대부분 지 금 박 차장과 같은 수준의 보안이 요구되는 분들 로 구성되어 있습니까? 업무에 따라 몇 명 정도 가 그 정도 수준이 요구된 것입니까? 외부에 컨설 팅 나가는 인원은, 박 차장 같은 프로드 시스템 에 나가는 인원은 6명 정도가 되고요. 그다음에 또 다른 컨설팅이 있습니 그런 일반 컨설팅에 서는 11명 정도가 있고 나머지는 전부 다른 일들 을 하고 있습니 그러니까 주로 6+11, 여기가 최 고의 데이터를 만지는 곳이라고 생각하면 됩니 까? 그렇지는 않 습니 사실은 저희 내부에서 모형을 개발하거나 여러 가지 리스크 관리 솔루션을 개발하는 직원들은 지금 현재 컨설팅 나가 있는 직원들보다 훨씬 더 고도의 그런 기술이 필요합니 예, 알겠습니 이상입니 반장 박민식 강기정 위원님 수고하셨습니 안덕수 위원님 질의해 주시기 바랍니 안덕수 위원 지금 우리 사장님 여러 가지로 힘드실 텐데 사실 이 KCB는, 저는 그렇게 생각합니 아 마 국가의 보안이 국정원이라면 경제의 보안으로 아주 빅데이터를 가지고 있는 그런 회사인데. 지금 제가 잠깐 질의하는 것을 봤습니 우선 직원 관리 면에서 그 직원을 채용하고 또 직원한테 책임을 부과하고 그럴 텐데 어디 다른 직원하고 특별한 어떤 관리 규정이 없습니까? 특별한 관리 규정은 없고요. 일단 저희가 컨설팅을 나가는 직 원의 경우는 그 직원이 그쪽 회사에 상주를 하고 또 출퇴근이라든가 모든 근태까지도 다 관리를 받고 하기 때문에 저희가 특별히 다른 규정을 두 고 있지는 않습니 안덕수 위원 그것은 좀 문제인 것 같아요. 앞 으로 보완을 해야 될 건데 사실 우리 대한민국 국민의 거의 모든 경제적 정보를 여기서 집중 관 리하고 있지 않습니까? 그래서 컨설팅해 주고 나는 그것 필요하다고 봐요. 우리가 지금 대출 이라는 게 담보 대출 위주로 되어 있고 그래서 개인의 신용을 잘 파악한다면 이런 대출 관행도 좀 바꿀 수 있는 굉장히 중요한 위치인데 이 중 요한 정보를 관리하고 있는 데에서 그 직원 관리 그다음에 데이터 관리 이것이 굉장히 중요한데 그 직원에 대해서 특별한 어떤 책임과 의무를 부 과하지 않고 또는 그 사람에 대한 관리를, 또 만 일에 이게 유출됐을 경우에 대한 담보 문제라든 지 이런 것이 지금 특별히 없다면 그것은 문제인 것 아니냐 그 말씀은 이 제 저희 내부에서 일하는 직원들하고 나가서 컨 설팅해 주는 직원들하고 차이에 대해서 말씀드린 거고요. 저희 내부나 외부나 안덕수 위원 모든 직원들 직원들에 대 해서 굉장히, 아까 말씀하신 부분과 같이 그것이 굉장한 책임과 의무감, 교육 이런 부분은 다 특 별히 제정이 되어 있는 상태입니 안덕수 위원 그리고 직원이든 누구든 데이터 에 접근하면 그 데이터에 접근해서 어떤 데이터 를 어떻게 했다는 것이 기록에 다 남습니까? 예, 그 기록 이 다 남고 매일매일 체크를 하고 앞에서 보시는 화면같이 저희 보안 종합모니터링이 있어 가지고 24시간 여기서 다 지금 통제가 되기 때문에 저희 회사에 있는 개인정보는 바깥으로 절대로 나갈 수 없는 그런 시스템이 되어 있습니 안덕수 위원 그런데 이번에 나갔잖아요. 그것은 저희 데이터가 나간 게 아니고요. 그 현장에 가 있는 그 회사의 데이터를 받아 가지고 그 직원이 빼 간 것입니 안덕수 위원 이 회사에 온 다음에 나간 게 아 니고 오기 전에 나갔다? 예, 저희 회 사에 들어와서 저희 회사 정보를 빼 간 게 아닙 니 안덕수 위원 그래서 이 회사에 들어온 자료에 대해서는 누가 접근하면 접근한 시간, 접근한 데 이터 이런 것이 다 나오고 예, 매일매일 바로 안덕수 위원 그것이 바로 체크되게 되어 있 다? 예. 안덕수 위원 그것은 뭐 당연히 그렇게 해야

8 제322회-정무국정조사조사록(2014년2월7일) 될 거예요. 그리고 저희 회사 데이터는 모두가 암호화되어 있습니 그 래서 주민등록번호, 주소까지 암호화가 되어 있 는 데는 우리나라에서 저희 회사만 그렇습니 그 정도로 저희는 모든 데이터가 다 암호화되어 있기 때문에 안덕수 위원 제가 지난번 금융위원회 보고 때 암호의 중요성을 강조하고 이것을 암호화해야 된 다, 암호화를 하면 유출이 되더라도 지금 IT기술이 워낙에 발전했기 때문에 해킹 을 안 당할 수가 없다고 볼 수 있잖아요, 계속 발전해 가니까. 해킹을 당하더라도 일정 기간은 쓸 수 없게 그 리고 그 안에 데이터를 다시 암호를 변경시켜서 그 가져간 데이터 암호가 풀더라도 다시 쓸 수 없게 이렇게 만드는 것이 나는 필요하다 이렇게 생각하는데 비용이 많이 들고 시간이 많이 든다 이런 얘기를 하더라고요. 그럼에도 불 구하고 저희들은 정보가 바로 저희 회사 생명과 직결되기 때문이 초창기 설립할 때부터 모든 정 보는 바로 암호화되어서 DB에 저장이 되는 그런 시스템입니 안덕수 위원 여기서는 유출이 되어도 못 쓴다 이거지요, 암호 해독하지 못한다? 예, 그렇습니 안덕수 위원 그것은 잘 되어 있는데 그래서 저희 들이 은행이나 카드사에 정보를 내보낼 때도 전 부 암호화해서 내보내고 그 정보를 푸는 것은 각 회사에서 풀어서 보게 되어 있습니 안덕수 위원 그리고 그 암호라는 게 일정기간 있다가 해독 방법을 또 바꾸고 바꾸고 그렇게 해 서 그 전의 암호를 해독하던 사람도 다른 자료를 입수하면 그것을 읽을 수가 없게 그렇게 되어 가 는 거지요? 예, 그런 기 술들은 계속 변환이 되고 해서 저희들은 그 부분 에 대해서 지금 9년간 한 번도 그런 사고가 일어 난 적이 없습니 안덕수 위원 그러면 금융기관에서 가지고 있 는 자료들도 암호화할 수 있는 것 아니에요? 전 금융기관이나 이런 데 자료를 다 암호화해서 쓰 는데 하나의 농협이면 농협, KB면 KB의 자료를 암호화해서 쓰지 못한다는 것은 말이 안 되는 얘 기이지요. 예, 당연히 가능하다고 보면 되겠습니 안덕수 위원 예, 알겠습니 반장 박민식 안덕수 위원님 수고하셨습니 다음은 김영주 간사님! 김영주 위원 예, 간단하게 질문하겠습니 2005년 2월에 KCB 설립해서 지금 180개 금융 회사 맡고 있지요? 예, 저희하고 거래하는 회사 180개 맡습니 김영주 위원 거래하는 180개 중에서 그동안 몇 군데의 금융회사 업무를 맡았습니까? 어떤 업무 말 씀하십니까? 김영주 위원 크고 작은 일, 이번에 FDS 180개 회사하 고 거래를 하면 저희가 정보를 다 이렇게 김영주 위원 그게 아니라요, 지금 나가서 CSS컨설팅이라든가 FDS 같은 업무 몇 개 예, 알겠습니 그 FDS는 6개를 했고요. 그다음에 나머지는 2013년도에는 12개를 했습니다, 컨설팅을. 김영주 위원 2005년부터 지금까지 하신 거요. 지금 당장 기억 못 하시면 자료 주시고요. 예, 자료 드 리겠습니 김영주 위원 예, 자료 주시고요. 제가 어떤 생각이냐 하면 아까 안덕수 위원님 얘기하신 것은 당연한 거고 현장에 파견 나가서 일을 벌인 겁니다, 이번에 직원이요. 그 나갔던 직원들에 대한, 이 5개 말고도 직원들에 대해서 이 사건이 터진 다음에 개별 PC라든가 모든 것 을 다 점검하신 적이 있으십니까? 예, 다 합니 다, 저희들은. 김영주 위원 갔다 오면 바로 합니까? 예. 김영주 위원 그러면 밖에 나가서 하는 장치는 만들지 못하고 있는 거네요? 나가서 개인적으로 본인이 유출시킨 것에 대한 것은 그것은 아까

제322회-정무국정조사조사록(2014년2월7일) 9 말씀드렸다시피 그쪽 보안 룰에 따라서 하게 되 어 있기 때문에 저희들이 접근 자체를 못 하고 있습니 김영주 위원 지금 1억 400만 명이 유출이 됐 는데 앞서 제가 2005년부터 지금까지 한 것을 조 사를 부탁드리느냐 하면 저희가 모르는 사이에 불법대출회사에서 문자 받고 불법도박사이트에서 받고 이런 게 어떻게 유출됐나 저희는 굉장히 걱 정을 하고 궁금해했는데 이 회사가 꼭 KCB가 했다는 것은 아니지만 나가서 했을 가능성을 많 은 국민들이 걱정을 하고 거기에 대한 의혹을 갖 고 있습니 이 방법에 대해서 어떤 대책을 강 구하고 있는 게 있는가요? 저희들은 PC 가 나갈 때도, 저희들이 우선은 나갈 때 PC를 안 내보내는 게 원칙인데 회원사에서 PC를 가져오 라 하는 경우가 있습니 그럴 경우는 김영주 위원 답변을 짧게 해 주세요. 그럴 경우에 어떤 대책 방안이 있냐, 갖고 오 라 그랬을 때 갖고 나가서 그 나가는 사람이 점 심시간이든지 저녁에 퇴근 전에 그것을 유출시킬 때 막을 수 있는 방법이 뭐가 있느냐고요. 저희들로서는 막을 방법이 없습니 김영주 위원 없으면 계속 이런 사태가 또 난 다고 봐야 되네요? 그래서 아까 말씀드린 것과 같이 이제는 저희가 그런 경우에 공동으로 관리를 저희들도 해야 되겠다 이런 계 획 김영주 위원 공동으로 어떤 관리를 합니까? 예를 들면 저 는 이렇게 생각합니 매일매일 일어난 일을 저 희들도 보고를 받고 만약에 데이터가 왔다갔다했 으면 저희들이 직접 나가서 그 PC를 점검하고 하는 조치를 하겠다는 말씀입니 김영주 위원 예, 알겠습니 그러면 이에 대한 책임을 사장님께서는 책임을 지고 사표 내는 것으로 저는 된다고 보지 않고 요. KCB 차원에서 어떤 대책을 강구하고 있는지 거기에 대한 것을 간단하게 말씀해 주시고 구체 적인 것은 나중에 청문회 때 하겠습니 일단은 아까 말씀드린 구상권이라든가 배상 책임에 대한 것은 재판이나 감독원 검사결과에 대해서 저희들이 따 르도록 하고 나머지 보안에 대한 강화 조치는 아 까 말씀드린 사항과 같이 그런 것들로 절대로 정 보를 빼 나가지 않게 하겠습니 반장 박민식 김영주 간사님 수고하셨습니 다음은 김종훈 위원님 짧게 하나 부탁드리겠습 니 김종훈 위원 그럽시 지난달에 우리 상임위에 사장께서 출석하셔 가 지고 박 차장이라는 사람의 업무 능력을 평가하 면서 아주 독보적인 그러한 전문성을 가진 직원 이었다 이런 표현을 하셨어요. 그런데 지금 업무가 중단된 상태이지요? 김종훈 위원 있지 않겠지요? 예, 그렇습니 그분 신병이 지금 사장님 휘하에 예. 김종훈 위원 지금 그 일 누가 합니까? 지금 현재 저 희가 FDS 컨설팅은 일단 중단이 되어 가지고 안 하고 있습니 저희가 신규로 할 수가 없고 유 지 보수로 해서 이미 한 김종훈 위원 그 업무는 중단이 됐다 박 차장이 그것을 빼 가지고 한 행위를 보면 결국 돈을 받고 팔았다는 건데요. 여러 번 팔지 는 못하고 중간에 중단이 되어서 다행이다 이런 답변들인데 이것 돈이 궁할만큼 그런 직원이고 급여 수준이 연봉이 어느 정도 됩니까? 지난번에도 말씀을 드렸지만 8000만 원 됩니다, 차장 연봉이. 저희들이 사고난 뒤에 가족들하고 면담을 해 본 과정에서 전혀 경제적인 그런 이유는 없었고 저 희가 교도소에 면회를 저희 직원이 갔다 왔습니 그래서 물어봤더니 형님 관련해서 보증을 섰는 데 그게 잘못돼서 어려워져서 잠시 자기가 돈이 그 당시에 필요했다 거기까지만 얘기하고 더 이 상 저희들이 그 사유에 대해서는 지금 파악을 못 하고 있습니 김종훈 위원 이상입니 반장 박민식 예, 알겠습니 김종훈 위원님 수고하셨습니 다음은 민병두 위원님 질의해 주시기 바랍니 민병두 위원 신용정보평가회사가 직원 채용하

10 제322회-정무국정조사조사록(2014년2월7일) 면서 그 직원이 최근 일가친척 담보를 섰는지 보 증을 섰는지 그런 신용정보가 파악이 안 됩니까? 아주 역설적인 얘기예요, 말씀하신 것 들어 보면, 그렇잖아요. 우리나라에서 금융전산망하고 행정전산망이 통 합되어서 1개 개인의, 한 개인 개인에 대해서 1 개의 금융회사 같은 경우는 기껏 해 봤자 20개 정도의 정보를 갖고 있는데 60개, 70개 정보를 갖고 있는 회사는 3개의 회사밖에 없잖아요, 그 렇지요? 예. 민병두 위원 KCB하고 나이스하고 서울크레 딧뷰로 세 군데밖에 없잖아요. 그래서 내가 지금 그 말씀을 듣고 나서 참 아이러니하다는 느낌이 드는 게 직원을 채용하면서 이렇게 모든 개인의 모든 신용정보를 다 들여다보고 있는 기관이 직 원을 채용하면서 그 직원이, 채용한 게 불과 작 년이잖아요, 작년 초잖아요, 사고 친 것은 작년 6 월이고. 그런데 그 직원이 저는 굉장히 아이러니 하다 이런 이야기를 하면서, 여기 CIO가 누구세 요? 지금 여기는 안 들어왔고 밖에 있습니 민병두 위원 CSIO는? 같이 하고 있 습니 민병두 위원 아니, CIO하고 CSIO를 갖다가 이 신용정보평가에서 같이 겸임한다고 하는 것은 상상을 불허하는 일이라고 생각해요. 두 업무는 긴장과 갈등 관계 아닙니까, 그렇지요? 상호 견 제하고 감독하게 되어 있잖아요. CIO는 효율성을 생각하고 CSIO는 보안성을 생각하잖아요. 그런데 우리나라에서 1개의 개인 개인에 대해 서 60개 이상의 정보를 갖고 있는 기관이 CIO와 CSIO를 구분하지 않고 있다? 그래요, 그러면 지금 출연사한테 또 회원사한 테 정보를 팔잖아요, 정보를 공급해 주잖아요, 그 렇지요? 파는 경우도 있지요? 대부업체는 몇 개 가 회원사입니까? 대부업체는 지금 한 20개 정도 민병두 위원 20개밖에 안 합니까? 나이스는 97개를 하던데 여기는 20개밖에 안 합니까? 상위 20개만 한다는 얘기입니까? 대부업체는 나이스가 이미 초창기에 대부업체한테 민병두 위원 알았어요, 여기는 20개를 한 그런데 대부업체에다가, 대부업체가 추심을 하 잖아요. 추심해야 할 필요가 있잖아요. 그러면 정 보를, 심지어 문제가 되는 게 그것 아니에요. 지 금 KCB나 나이스가 추심회사한테 그 사람의 10 년치 주소를 다 준다는 것 아니에요? 저희들은 그 주소를 주지 않고 있습니 민병두 위원 않고 있습니까? 예, 왜냐하면 지난번에 주민등록주소를 과거 것 그런 것 많이 못 주게 되어 있기 때문에 저희들은 안 하고 있 습니 민병두 위원 그래요, 그러면 이제 여기 CSIO 가 있으면 더 물어보면 좋겠는데 아까 보니까 변 환프로그램을 롯데 같은 경우는 변환프로그램이 무력화됐다는 거예요. 변환프로그램을 해독했다 는 거예요, 박 차장이 가서 정보변환프로그램을 갖다가. 그것은 아주 쉬운 일입니까? CSIO가 있으면 좋겠는데 아주 통상적으로 CSIO세요? 저기 우리 I T 민병두 위원 DRM을 무력화시켰다고 하는데 점유율 1위인 DRM이 바로 무력화됐다 하는데 통상적으로 이게 쉽게 가능해요, 그 정도의 정보 기술자라면? 코리아크레딧뷰로 정보시스템실장 문재남 정 보시스템실장 문재남입니 현재 제가 알고 있기로는 그런 DRM프로그램 을 무력화하기는 어렵다고 보고 있습니 민병두 위원 DRM을 무력화시킬 방법은 없 다? 현재 민병두 위원 현재 기술상? 현재 알고 있는 그렇습니 민병두 위원 여기 보안 CIO라고 하셨지요? 지금 정보시스템부를 총괄하고 있습니 민병두 위원 그러니까 CIO시네요?

제322회-정무국정조사조사록(2014년2월7일) 11 그러면 여기 CIO 문 실장님이 알고 계시기에 는 DRM을 무력화시킬 수 있는 기술수준을 갖고 있는 전문가는 없다? 지금 현재는 민병두 위원 그런데 아까 롯데카드는 그 사람 이 와서 무력화시켜 갖고 암호화 변환을 해제했 다는 거거든요? 코리아크레딧뷰로 정보시스템실장 문재남 글 쎄, 그 부분은 확인되지 않았습니 민병두 위원 OK, 그렇다고 칩시 그러면 그다음에 보조기억매체 차단프로그램이 있잖아요, USB라 할지? 매체제어를 하고 있습니 민병두 위원 예, 매체기억프로그램. 여기는 SDT를 쓰네요. 지금 보시다시피 쓰고 있습니 민병두 위원 ESCORT를 쓰는 데도 있고? 아 까 롯데는 ESCORT를 쓰더구먼요. 이것은 SDT가 시장점유율이 제일 높은 데입 니까? 코리아크레딧뷰로 정보시스템실장 문재남 지 금 매체 제어 프로그램이라고 PC 보안 프로그램 이 별도로 있고요. 저기 보시다시피 안의 PC는 그 매체 제어 프로그램이 설치되어 있고 또 그 위의 민병두 위원 글쎄요, 그런데 SDT 같은 경우 도 지금은 실장님이 볼 때는 무력화시킬 방법은 없다, 해제시킬 방법은 없다? 코리아크레딧뷰로 정보시스템실장 문재남 예. 민병두 위원 해제해 주지 않는 한? 코리아크레딧뷰로 정보시스템실장 문재남 예. 민병두 위원 그 위탁사에서 가령 카드사에서 직원이 해제해 주지 않는 한 여기 있는 직원이 가서 해제할 수 있는 기술력은 없을 것이다? 일단 제가 알기로는 그렇게 되어 있습니 민병두 위원 이것은 그렇게 하려고 하고 있었 어요. 자, 마지막으로 하나만 물어볼게요. 맨 마지막 페이지에 앞으로 어떻게 하겠다 하 는 얘기를 하면서 14페이지에 보면, 키(Key)값이 지금까지 금융 전산망은 공통 키값이 주민등록번 호 아니에요? 코리아크레딧뷰로 정보시스템실장 문재남 예. 민병두 위원 그런데 앞으로 키값을 고객번호 로 쓰겠다는 것 아니에요? 코리아크레딧뷰로 정보시스템실장 문재남 예. 민병두 위원 지금 대통령도 그렇고 안행부에 서도 그렇고 이제 키값을 바꾸겠다는 거예요, 원 래 키값은 안행부에다 보관하고? 코리아크레딧뷰로 정보시스템실장 문재남 예. 민병두 위원 자, 보험 키값, 금융권 키값, 발 행번호랄지 이런 것 갖고 새로 하겠다고 하는 거 예요. 그걸 지금 이렇게 말씀하시니까, 그러면 이 경 우 추가 행정비용이나 이런 것들은 꽤 과하게 들 지 않나요? 코리아크레딧뷰로 정보시스템실장 문재남 비 용은 아마 상당히 많이 들 것으로 예상하고 있습 니 민병두 위원 그런데 여기는 이미 하고 있는 것 아니에요, 그런 식으로? KCB는 시작 때부터 다 암호화를 하고 있고요. 우리 KCB 전체 망 분리하고 암호화를 할 때 한 20억 정도 더 비용이 들어갔습니 민병두 위원 그러니까 금융기관별로 새로 발 행번호랄지 이런 주민등록번호는 공통 키값인데 가짜 발행번호 같은 것을 쓰고 있으면 전산망끼 리 연결이 안 되기 때문에 그런 것입니까? 별도로 매핑을 해야 됩니 민병두 위원 별도 매핑을 해야 되기 때문에 비용이 많이 들 것이다, 시간도 많이 들 것이다? 코리아크레딧뷰로 정보시스템실장 문재남 예. 민병두 위원 알았습니 반장 박민식 자, 민병두 위원님 수고하셨습니 더 이상 김기식 위원 제가 반장 박민식 마지막? 김기식 위원 요청만 받을 반장 박민식 예, 요청만. 김기식 김기식 위원 단답형으로 하세요. 지금 KCB가 그 정보 수집하는 것이 무슨 법 에 근거하고 있지요?

12 제322회-정무국정조사조사록(2014년2월7일) 신용정보법에 의해서 하고 있습니 김기식 위원 그 법 위법행위 없습니까? 예, 없습니 저희들은 김기식 위원 자, 됐어요. 없다 이거지요? 예. 김기식 위원 저는 이번과 같은 불법적인 개인 정보 유통이 과연 이 박 차장에게만 있었는지, KCB에 없었는지는 청문회 때 제가 없다 고 답변하셨습니 예. 김기식 위원 다음번에 증인으로 나오셔서도 그렇게 얘기하시고. 예. 김기식 위원 자, 그 정보를 받으시는 것은 그 냥 받으시지요, 비용 안 들이고 금융회사나 이런 데로부터? 예, 그렇습니 김기식 위원 자, 그다음에 제공하실 때 수수 료 받으시지요? 예, 그렇습니 김기식 위원 금융기관들이 이 개인의 신용정 보나 이런 것에 대해서 요청이 들어오면 그것 해 서 조회해 주고 수수료 받는 것 외에 여기에서 어떤 정보를 만들어서 금융기관에 팔기도 하지 요? 예, 그렇습니 김기식 위원 그런데 신용정보법을 위반한 게 없다 이렇게 얘기하는 거지요? 예. 김기식 위원 알겠습니 반장 박민식 김기식 위원님 수고하셨습니 다음은 마지막으로 이상직 위원님 간략하게 질 의해 주시기 바랍니 이상직 위원 김상득 사장님, 전자금융감독규 정에 준해서 내부 규정에, 외부 현장 직원이 보 안 관리하는 내부 규정을 어겼을 때 어떤 처벌이 있다든가 이런 내부 규정이 있어요, 없어요? 그것은 이상직 위원 그것도 아직 파악 안 됐습니까? 자, 그러면 거꾸로 이번 사태에 대해서는 사장 님 이하 사표를 냈지만 그 박 씨하고 회사하고는 공동책임이 있지요? 관리 부주의든 뭐든 내부 지 침을 어겼던데, 거기에 대해 어떻게 생각해요? 사용자 책임 에서 자유로울 수 없다라고 생각을 하고 있습니 이상직 위원 그렇지요? 예. 이상직 위원 그런데 대주주가 누구입니까, KCB 대주주? 국기업평가 이상직 위원 기업평가지요? 대주주는 한 예, 그렇습니 이상직 위원 한국기업평가가 시가 총액이 1670억인데 주식은 변동이 없어요. 물론 대주주 지분만큼 다 날리면 된다고 하지만 굉장히 큰 사 건을 일으켜 놓고도 그 코스닥에 등록한 한국기 업평가 주식은 거의 주가 변동이 없답니 그러니까 지금 내부적으로 이 언론 앞에서는 이렇게 국민들한테 미안하다, 공동 책임이 있다 고 하는데 지금 그 꼬리 자르기 하려고 하는 것 아니에요? 박 모 씨로 개인 책임이다 이렇게 돌 리려고 하는 것 아닙니까? 아직 저희들 이 그런 생각은 못 하고 있고, 지금 아직은 이상직 위원 그럼 회사 차원에서 소비자 피해 구제에 대한 배상 이것에 대해 좀 검토하는 게 있어요? 지금 현재 아 까 말씀드렸다시피 재판 중이고 검사 중이기 때 문에 저희가 그것이 구체적으로 나오면 저희가 이제 본격적으로 그런 데 대해서 검토를 하게 될 것입니 이상직 위원 이제 책임은 있다? 두 번째, 이게 오늘만의 문제가 아닌 것 같아 요. 보니까 아까 말한 대로 대주주가 한국기업평 가잖아요? 평가 가공 데이터를 팔아 가지고 영업 을 하는 것입니 한국기업평가 대주주가 피치 인 줄 알고 있지요, 외국사? 예, 알고 있 습니 이상직 위원 73% 대주주는 피치입니

제322회-정무국정조사조사록(2014년2월7일) 13 신용이나 가공 데이터를 파는 회사들이에요. 그것 가지고 장사하는 건데 외부 현장 직원이든 내부 직원이든 이 로 데이터만 수집을 해야 되는 데 광범위하게 데이터를 불필요한, 이상으로 데 이터를 보안 규정을 어겨 가면서, 전자금융감독 규정을 어겨 가면서 수집해 가지고 가공하지 않 았나, 그리고 가공한 데이터를 보안불감증으로 외부에 유출하고 그것을 활용하고 또 대주주인 한국기업평가에 주지 않았나, 그게 또 피치사에 들어가지 않았나, 저는 굉장히 거기에 의구심이 있습니 거기에 대해서 어떻게 생각하세요? 일단 아까도 나왔지만 법을 어겨서 저희들이 영업을 할 수는 없고요. 그다음에 한국기업평가가 지금 10.99% 갖고 있습니다, 전체 지분 중에서. KCB를 만들 때 어 떤 특정한 이상직 위원 그런 동기가 있냐 없냐 이거지 요, 그 회사 내에? 그런 동기는 전혀 없습니 이상직 위원 자, 그러면 마지막으로 질문하겠 습니 이 박 모 씨를 채용하는데 박 모 씨뿐만이 아 니고 직원들 채용할 때 그 추천인란이 있어요, 뭐 있어요? 저희들은 추 천받아서 채용하지 않았습니다, 공개 채용으로 했습니 이상직 위원 그러니까 공개 채용으로 하는데 거기 내에 누가, 추천인란이 있냐 이 말이에요. 없습니 이상직 위원 그럼 기업평가가 대주주가 국민은행, 농협, 우리금융그룹, 삼성그룹, 현대그 룹이 있는데 여기에서 추천하지 않아요, 직원들 경력직 뽑을 때? 예, 추천하지 않습니 이상직 위원 그러면 그 박 모 씨는 아까 말한 대로 엑설런트한 직원이어 가지고 사장님이 개인 적으로 추천한 것입니까? 아니, 제가 추천하지 않았고요, 저희들은 내부적으로 선발을 할 때 임원들이 그 평가 다 하고 실무자들도 평 가하고 상당히 여러 가지 프로세스가 있습니 이상직 위원 그럼 전문 기업체 HSR 외, 이전 에 내부에서 먼저 직원을 몇 배수로 채용을 하지 않습니까? 예. 이상직 위원 좀 주십시오. 거기에 대한 기준과 그 자료를 이상직 위원 반장 박민식 예, 알겠습니 이상입니 위원님들의 질의를 다 마쳤습니 오늘 보고해 주신 회사 관계자 여러분들께서는 고객 정보 유출로 신용과 신뢰를 생명으로 하는 금융산업의 근간을 흔드는 사태에 직접적인 원인 제공을 했다는 점에서 깊은 반성과 함께 향후에 는 이러한 일이 다시는 발생하지 않도록 최선의 노력을 다하여야 할 것입니 오늘 장시간 현장검증 활동에 임해 주신 위원 님 여러분들, 수고하셨습니 그러면 이상으로 코리아크레딧뷰로주식회사에 대한 현장검증을 종료하도록 하겠습니 출석 위원(15인) (16시33분 현장검증종료) 강기정 강석훈 김기식 김영주 김영환 김종훈 민병두 박대동 박민식 성완종 신동우 안덕수 유일호 이상직 이종걸 출석 전문위원 수 석 전 문 위 원 진 정 구 피조사기관 참석자 코리아크레딧뷰로 사 장 김 상 득 전 무 염 문 철 전 무 조 강 직 상 무 김 정 인 정보시스템실장 문 재 남 정부측 및 기타참석자 금융감독원 부 원 장 보 박 세 춘 I T 감 독 국 장 송 현

2024 © docsplayer.org 개인정보보호 | 약관 | 지원