대부분의 금융회사는 고객 정보가 외부로 빠져나가지 못하도록 하기 위해 USB(휴대용 저장장치) 사용을 아예 금지하고 있다. 삼성카드·현대캐피탈의 경우 회사 컴퓨터에 USB를 접속하지 못하게 막아놨다. 이 때문에 용역업체 직원은 물론 내부 직원도 회사 컴퓨터에서 USB로 아무 자료도 복사할 수 없다. 그러나 이번에 고객 정보를 대량으로 유출한 KB국민카드·NH농협카드·롯데카드는 용역업체 직원이 USB를 사용하고 있다는 사실조차 몰랐다. 검찰이 범인을 체포하고 회사에 알려준 뒤에야 USB를 이용해 고객 정보를 빼내갔다는 것을 파악했다.
금융회사가 USB 사용을 금지하고 고객 데이터베이스에 대한 접근을 통제하는 것은 정보 보안의 기본 철칙이다. 외부에서 노트북이나 PC도 갖고 오지 못하게 한다. 이런 보안 조치에 특별한 기술이 필요한 것도 아니고 돈이 많이 들어가는 일도 아니다. 그러나 3개 카드회사는 가장 초보적인 보안 절차를 지키지 않았다.
이들의 잘못은 용역업체 직원에게 USB 사용을 허용한 것만이 아니다. 범인인 용역업체 직원은 카드 부정 사용을 막기 위해 개발한 새 보안 시스템이 제대로 작동하는지 테스트하려면 고객 정보가 필요하다는 이유를 들어 고객 데이터베이스에 접속할 수 있도록 해달라고 요구했다. 이런 테스트에서는 실제 고객 데이터가 아닌 가상의 데이터를 이용하거나 실제 고객 데이터 중 몇 가지 제한된 정보만 이용하는 게 상식이다. 그러나 사고를 낸 카드회사들은 범인이 1500만명의 고객 정보를 모두 빼갈 수 있게 데이터베이스를 활짝 열어줬다. 고객들의 신뢰를 바탕으로 먹고사는 금융회사가 고객 보호 임무는 내팽개치고 도둑에게 금고 문을 열어준 꼴이다.
아무리 많은 돈을 들여 보안 시스템을 갖추더라도 해커들의 공격으로부터 고객 정보를 완벽하게 지키기는 힘들다. 그러나 이번 고객 정보 유출 사건은 USB 사용 금지 등 당연히 해야 할 조치를 취하지 않고 용역업체 직원을 허술하게 관리한 데서 발생했다. 국내 금융회사들은 비싼 보안 시스템을 도입하는 데 돈을 쓸 게 아니라 담당 직원들이 가장 기본이 되는 규칙을 제대로 지키고 있는지부터 점검할 필요가 있다.