[단독]'맥 주소'까지 수집…카드사, 또 개인정보 불감증

고객 사용시간·장소 알아 유출 땐 해킹루트로 악용
신한, 여론 뭇매 맞고 철회… 타사들도 공공연하게 수집

신한카드가 최근 고객 컴퓨터·스마트폰의 각종 고유번호를 추가 수집하겠다고 밝혔다가 여론의 뭇매를 맞고 철회했다. “카드사가 내 PC와 스마트폰 정보까지 수집한다. 개인정보를 유출해 기업에 대한 고객들의 불신을 키우고 있다”며 민감하게 반응하는 사람이 많았다.

그러나 대다수 카드사가 이미 맥 주소(특정 컴퓨터나 모바일 기기를 식별하기 위한 개인용 컴퓨터의 고유식별번호), 하드디스크 번호 등 논란이 된 정보를 수집하고 있는 것으로 확인됐다.

11일 세계일보가 전업계 카드사들의 개인정보취급 방침을 확인한 결과, KB국민·삼성·롯데·비씨·우리카드 등 5곳이 온라인 거래 고객의 컴퓨터와 스마트폰 맥 주소, CPU(중앙처리장치) 종류 등 광범위한 정보를 수집하고 있었다. 이런 사실이 알려지지 않은 상태에서 뒤늦게 뛰어든 사업자만 “개인정보를 과다하게 수집하려 한다”며 두들겨 맞은 셈이다.

KB국민카드는 IP주소, 맥 주소, 하드디스크 번호를, 삼성카드는 같은 정보에 CPU 아이디, 웹브라우저 종류를 개인정보취급방침에 명시하고 있다. 롯데카드는 삼성카드의 항목에 ‘위치기반서비스 제공을 위한 사용시각 및 장소’까지 추가하고 있다.

가장 논란이 되는 부분은 인터넷에 연결해주는 부품의 고유번호인 맥 주소이다. 이를 알면 위치정보와 인터넷 활동 이력을 알 수 있기 때문이다. 김기창 오픈넷 이사(고려대 법학과 교수)는 “맥 주소가 유출되면 해커들이 탐지하기 어려운 세련된 공격을 할 수 있게 된다”며 “지금처럼 가짜 맥 주소가 아니라 고객의 실제 번호로 금융사를 공격할 경우 전 세계 금융기관은 (해커인지 고객인지) 탐지하기가 더 어려워질 것”이라고 지적했다. 그러나 카드사들은 이상거래탐지시스템(FDS)의 고도화를 위해선 맥 주소가 필요하다는 입장이다. 카드업계 관계자는 “고객의 맥 주소를 알면 FDS를 가동해 카드 주인이 아닌 자가 다른 기기에서 부정하게 사용하는 걸 막을 수 있다”며 “정보 수집에 동의하는 고객에 한해 데이터를 모으고 있다”고 해명했다.

이현미 기자 engine@segye.com

■맥 주소란=컴퓨터·스마트폰 등 디지털기기에 장착된 랜 카드의 고유번호로, 이것이 없으면 인터넷 연결이 안 된다. 수정·변경이 불가능하다는 점에서 디지털기기의 주민등록번호로 불린다.