신용카드 결제기(POS) 관리업체 C사가 엑셀 파일 형태로 보관 중인 가맹점의 카드 결제정보자료. 고객들의 개인정보를 포함해 무려 1200만건이 고스란히 유출돼 2차피해가 우려되고 있다.

신용카드 결제기(POS) 관리업체의 부실한 서버 관리 탓에 동네 식당 등에서 카드로 결제한 고객들의 카드ㆍ개인정보 1,200만 건이 통째로 유출된 것으로 드러났다. 더구나 미국 내 특정 아이피(IP)주소에서 이 서버에 지속적으로 접속한 정황이 확인돼 2차 피해가 우려되지만, 피해자들은 자신의 정보 유출 여부를 확인할 방법조차 없는 상황이다.

광주 서부경찰서는 4일 카드결제기 가맹점의 고객 정보를 특별한 보안조치 없이 방치한 혐의(개인정보보호법 위반)로 서울 지역의 POS 판매ㆍ관리업체 C사 직원 최모(39)씨를 불구속 입건하고 긴급 서버접근제한 조치로 추가 유출을 막았다고 밝혔다. C사 시스템의 가맹점은 소규모 식당, 주점 등 200여 곳으로, 유출된 정보는 고객들의 신용카드 결제정보 450만 건과 개인정보 750만 건 등 총 1,200만 건에 달한다.

경찰은 최근 카드3사 정보 유출 사태 이후 실태를 점검하던 중 구글 사이트에 담당 경찰관의 카드번호를 입력해 검색하자 해당 업체의 백업서버에 접속된다는 사실을 확인하고 수사에 착수했다. 경찰에 따르면 실제 검색 결과 해당 신용카드로 결제한 내역과 결제장소, 일시, 할부 여부는 물론, 회원 개인의 이름과 주소, 전화번호 등이 줄줄이 검색됐다.

조사 결과 C사는 해당 서버에 암호화 등 접근금지 조치를 전혀 하지 않았고 작업 후 고객 관련 정보를 삭제하지 않은 채 방치한 것으로 드러났다. 이 때문에 구글에서 간단한 검색만으로도 모든 고객 정보를 훤히 들여다 볼 수 있었던 것이다.

실제로 미국 내 특정 IP 주소에서 지난해 1월부터 최근까지 한 달에 2, 3번씩 모두 20여 차례 해당 서버에 접속한 것으로 밝혀졌다. 경찰은 아직 이번 사건과 관련한 2차 피해 사례는 확인되지 않았으나, 개인 정보가 상당기간 무더기로 노출된 만큼 스미싱 등 범죄에 악용될 가능성이 큰 것으로 보고 조만간 미국에 공조수사를 요청키로 했다. 경찰 관계자는 "현재는 개인이 자신의 정보 유출 여부를 확인할 길이 없다"며 "오랜 기간 반복적으로 서버에 접속한 것으로 보아 개인정보를 지속적으로 빼간 것으로 추정된다"고 말했다.

경찰은 POS 관리업체들이 대부분 영세하고 보안 관리가 허술해 정보 유출 사례가 더 있을 것으로 보고 다른 업체들에 대해서도 수사를 확대할 방침이다.