금감원 "개인정보 변환데이터, 암호화와는 달라"

금감원이 일부에서 우려하는 카드사 개인정보 암호화의 복호화 가능성에 대해 24일 해명했다.
금감원은 지난 13일 삼성카드는 작년 9월, 신한카드는 작년 4~12월 사이 KCB 직원에게 프로그램 개선작업을 맡겼으며 당시 두 회사 모두'전자금융감독규정'을 준수해 정보유출을 방지했다고 밝힌 바 있다.
금감원 관계자는 "테스트용 데이터 제공시 실데이터는 제공하지 않는 것이 원칙이며 용역직원이 요청할 때에도 실데이터 상의 이름, 주민등록번호 등 민감 정보는 가상의 데이터로 완전히 변환해 제공해야 하는 것이 정해진 규정"이라고 설명했다.
즉 키(key)값 등을 활용한 암호화를 넘어 '김철수'를 '홍길동'으로 변환하는 방식으로 복호화 가능성을 원천 차단한다는 것이다.
그는 "일부에서 흔히 논의되는 '암호화'와는 개념이 완전히 다르다"며 "읽을 수 없는 데이터로 처리하는 게 암호화라면, '변환'은 읽을 수 있되 가상의 정보로 데이터를 대체해 제공하는 것"이라고 말했다.
대체된 정보를 원상복구해 실데이터에 반영하기 위한 최소한의 기록은 어떻게 관리하냐는 질문에 대해서는 "용역직원을 통한 작업은 개인별 민감정보 없이 빅데이터들을 모아 소비성향을 파악해 개발하는 부정사용방지시스템(FDS) 업무이기 때문에 실데이터로 재변환할 필요없이 대체된 정보만으로 작업이 가능하다"고 설명했다.
한편 데이터 변환과 함께 2중 보안장치로 작업 PC에는 USB 통제 프로그램을 설치해야 하는 것이 규정이다. 변환된 데이터라도 USB에 옮겨담는 과정 자체를 차단해 외부 유출을 방지하는 것이다.
이 관계자는 "2중 보안규정 중 하나라도 지켰으면 정보유출을 막을 수 있었을 것"이라며 "국민카드, 롯데카드, 농협카드 등은 두가지 규정 모두 제대로 지키지 않은 것"이라고 덧붙였다.
[매경닷컴 윤호 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]