금융 사고에 무감각한 농협금융이 여론의 질타를 받고 있다. 농협은행에서 촉발된 농협카드의 개인정보 유출에 이어 이번에는 농협생명에서 개인정보가 털리는 사고가 발생했다. 뿐만 아니다. 농협 금융전산망 마비사태부터 농협은행의 사기대출 등 각종 금융 사고에서 농협은 빠지지 않는 ‘약방의 감초’가 되어버렸다.
 

NH농협금융은 각종 금융 사고에 빠지지 않는 ‘단골손님’이다. 그러다 보니 “금융 사업을 하기에 자격미달”이라는 비아냥 소리도 들린다.
농협은 카드사태 뿐 아니라 각종 금융사고 때마다 ‘약방의 감초’였다. 최근 불거진 KT ENS의 3000억원대 사기대출 사건에도 NH농협은행은 명단에 올랐다. 300억원대 피해를 입었다. 공기업처럼 주인이 없다 보니 방만한 일처리가 관행처럼 굳어졌다. 금융사고가 터지더라도 누구하나 제대로 책임지는 모습을 보이지 않는다.
최원병 농협중앙회장만 하더라도 2011년 농협 금융전산망 마비사태 발생 때 “나는 모르는 일”이라며 책임회피성 발언을 했다가 여론의 질타를 받았다. 이신형 전 농협카드 사장도 지난 고객정보 유출 사태를 놓고 책임회피성 발언을 해 논란이 일었다. 이 사장은 당시 농협은행 본사에서 진행된 국정조사 현장검증에서 이상직 의원이 “왜 박모씨(개인정보 유출 KCB직원)에게만 책임을 모두 떠넘기려 하냐”고 질문하자 “우리(농협카드)도 피해자”라고 답변하기도 했다.
이런 무사안일이 농협은행의 부실을 낳기도 했다. 농협은행은 부동산 프로젝트파이낸싱(PF)대출에서 부실규모 1위를 차지했다. 지난해 국감자료에 따르면 2013년 농협은행의 부동산 PF대출 잔액은 2조8000억원에 이른다. 이 중 부실채권 규모는 절반 수준인 1조2000억원이나 된다. 이는 NH농협은행 전체 부실채권 중 35%를 차지한다. 이는 5대 시중은행 중 가장 큰 부실 규모다.

 보안 비용 줄이는 데만 급급

<도표>2011년 이후 농협 금융사고
2011년 4월          농협 해킹 사태로 전산망과 은행업무 마비
2011년 5월/12월     인터넷 뱅킹과 현금인출기(ATM) 서비스 중지
2013년 3월          농협 전산망 해킹으로 전산망 마비
2013년 12월         보이스피싱 건수 1위. 9500여 건. 피해액 1500억 원
2013년 12월         개인정보 1차 유출 확인 2511만 건 (외부직원 USB)
2014년 4월          개인정보 2차 유출 확인 2430만 건 (2012년 10~12월 수치)
2014년 4월          개인정보 유출 3만 건 (카드 포스단말기 해킹)

농협에서 2011년 이후 지금까지 5000만건의 개인 정보가 유출됐다. 금융 사기범들이 이용하는 ‘대포통장’이 가장 많이 개설된 금융기관도 농협이다. 지난해 보이스피싱 피해건수도 전체의 35%로 1위를 기록했다.
NH농협카드는 사태를 수습하면서 한 번 더 신뢰를 잃었다. 개인정보유출 여부를 확인하기 위해 지난해 12월 조회 사이트를 열 때 안정성을 확보해야 하는데 그렇게 하지 않았다. 지난해 조회 사이트 초기 가동 당시 개인정보를 암호화 하지 않고 10시간이나 가동했다. 이는 개인정보법 위반에 해당한다. 그렇게 당하고도 개선이 되지 않는 것을 보고 언론은 ‘보안 불감증’으로 규정했다.
NH농협카드 관계자는 “주민번호를 암호화해야 하지만 기술적 제한요소 때문에 암호화하지 못했다”고 변명했다. 보안이 생명인 금융에서 보안에 대한 투자에 인색해 일어난 일이었다. 농협금융의 경우 고객정보 보호와 관련한 관리체계가 없었을 뿐 아니라 사내에 개인정보보호와 관련된 지침도 아웃소싱업체들의 관리에 대한 체계도 전혀 갖추지 못했다.
주민번호를 암호화하려면 시스템이나 소프트웨어를 교체해야 하기 때문에 비용이 들어가긴 하지만 그 비용이 천문학적으로 들어가는 것도 아니고 금융사로서 마땅히 갖춰야 할 절차이기 때문에 주민번호 암호화를 하지 않은 카드사가 근본적인 책임이 있는 것이다.
결국 농협은행은 문제 해결을 위해 농협카드 사장(카드부문 부행장)에 신응환 전 삼성카드 부사장을 3월 긴급히 투입했다. 신 사장은 삼성그룹 비서실과 구조조정본부에서 근무했으며, 삼성카드 부사장을 역임한 전문경영인이다. 신 사장의 인사에 덧붙여 농협은행은 “농협카드의 위기를 조기에 극복하고 고객 신뢰를 회복해 향후 농협카드 사업의 성장을 이끌 최고의 적임자”라고 설명했다. 앞서 손경익 전 농협카드 사장은 지난 1월 21일 카드고객정보 유출에 대한 책임을 지고 사퇴했다.
임종룡 NH금융지주 회장은 뒤늦게 이를 개선하겠다면서 “반복적으로 일어나는 전산보안 관련 사고에 대해 송구스럽게 생각한다”고 밝혔다. 이어 그는 “앞으로 전산에만 7000억원 정도를 투자할 생각이며 시스템 전면 재편을 계획 중”이라고 덧붙이기도 했다.
농협은행은 지난 3월에야 고객정보보호 업무를 맡는 전담조직인 ‘정보보안본부’를 신설했다. 또 최고정보책임자(CIO)에서 정보보호최고책임자(CISO) 업무를 분리했다. CIO는 기업의 IT와 정보시스템을 총괄하는 최고책임자며, CISO는 보안관련 기술적 대책을 마련하고 법률적으로 대응하는 최고책임자다. 정보보안 중요성이 강조되면서 임 회장은 이 둘을 분리하기로 결단을 내린 셈이다.
이들 자리에 대한 인사도 전과 달리 파격적이었다. 그동안 요직에는 무조건 농협 내부 출신들이 앉았던 것과 달리 이번엔 외부인을 기용했다. 초대 CISO로 남승우 전 신한카드 IT본부장이 선임됐다. 남 부행장은 불과 3개월 사이에 상무에서 부행장 직위를 달게 됐다. 남 부행장은 신한카드뿐 아니라 한국HP, 한국MS, 신한금융지주 등에서 IT와 금융 업무를 두루 경험했다.

 정부지원에 안주, 내부비리엔 무감각

NH농협금융지주는 지난 3월 ‘부끄러운’ 실적을 발표했다. 지난해 2930억 원의 당기순이익을 기록해 전년 대비 40%나 추락했다. 순이익 1조원 달성 목표가 무색한 결과였다. 지난 2012년 신용과 경제를 분리한다는 신경분리 원칙 아래 농협금융이 생긴 후로 줄곧 내리막길이다.
NH농협은 2012년 신경분리 과정에서 정부로부터 2조원을 받았다. 부실자산을 해소하고 농민들에 대한 융자사업을 활성화한다는 조건이 붙었다. 역대 정부는 농촌에 아낌없이 지원했다. 우루과이라운드 협상이 타결된 뒤 김영삼 정부 시절부터 지금까지 농촌에 투입된 돈은 100조 원이 넘는다. 농협은 농민과 정부의 중간 고리를 연결하는 역할을 해 왔다.
이런 정부의 투자는 농협금융을 온실 속에 안주하게 하는 역효과를 가져왔다. 새로운 금융시장에 도전하기보다 안방에만 신경 쓰는 무사안일주의가 팽배해졌다.
지난해 10월 농협중앙회에 대한 국회 국정감사에서 농협의 고질적 비리가 도마 위에 올랐다. 홍문표 새누리당 의원은 지난해 8월까지 농협 비리사고에 따른 누적 금액은 2600억원에 이른다고 밝혔다. 홍 의원은 “몇 천 억원씩 부정비리를 저질러 놓고 적당한 선에서 시간 끌다가 재판하고, 보통 3년 지나가면 그 사람들이 이상한 곳에 재취업을 한다”고 꼬집었다.
국정감사에서 나온 비리도 다양했다. 서울에서 여직원이 5년 동안 고객 돈 26억 원을 몰래 빼돌렸고 경북 포항 직원은 주식투자에 실패한 뒤 농민 출자금 12억원을 횡령했다. 문제는 여기서 그치지 않는다. 이렇게 내부 비리로 날린 돈의 절반은 돌려받지 못했다는 것이다. 더구나 이렇게 날린 돈이 매년 평균 25%씩 늘고 있다.

카드 이어 농협생명도 개인정보 35만건 유출

카드사에 이어 보험사까지 개인정보가 새어나갔다. 농협생명의 고객정보 35만건이 외주업체 직원에 의해 유출된 것으로 밝혀진 것이다. 농협생명은 그동안 이 사실을 숨기고 있다가 3개월 만에 금융감독원의 현장점검을 통해 적발됐다.
농협생명은 총자산은 지난해 8월 기준으로 45조7040억원이다. 삼성, 한화, 교보생명의 뒤를 이어 4위를 차지하고 있다. 나동민 농협생명 대표이사는 경기고와 한국외대 법학을 졸업하고 2002년 한국개발연구원 금융경제팀장, 재경부 금융발전심의위원회를 거쳐 2009년부터 농협생명 대표이사를 맡아 3연임을 하고 있다.
금융감독원은 4월 16일 농협생명 경영실태평가 현장점검에서 농협생명의 고객정보 35만건이 외주업체 직원에게 유출된 사실을 발견했다고 밝혔다. 농협은 “자체 점검을 통해 유출된 정보를 삭제한 만큼 제 3자에게 유출될 가능성은 없다”고 말했다.
농협생명은 지난 1월 자체 점검을 통해 외주업체 직원들의 개인 노트북에 35만 건의 고객 개인정보가 저장된 사실을 발견했지만 금감원에 이를 보고하지 않았다. 농협생명은 외주업체 직원에게 프로젝트 수행을 위해 주민등록번호 등의 고객정보를 제공하면서 테스트용으로 변환해서 가공한 자료가 아닌 실제 자료를 제공했다.
농협생명은 자체 점검을 통해 유출된 정보를 삭제한 만큼 제3자에게 유출될 가능성은 없다고 해명했다. 농협생명 관계자는 “개인노트북의 USB와 이메일 등 외부유출 경로를 모두 차단했고, 자체점검 기간 중 개인노트북에 저장된 개인정보를 모두 삭제했다”며 “외주업체 직원들도 개인정보를 외부에 유출한 적이 없다고 진술했다”고 전했다.
하지만 농협생명이 자체점검을 하기 전에 외주업체 직원이 개인 노트북을 외부로 반출했을 가능성이 제기되고 있다. 외부 유출이 없었다는 외주업체 직원의 진술만으로 실제로 그런 일이 일어나지 않았다고 단정하기 어렵다는 지적이다.
금감원 관계자는 “농협생명의 경영실태평가 점검에서 개인정보 관리부실 검사로 전환하는 한편 현재까지 파악한 내용을 개인정보범죄 정부합동수사단과 협업해 사실관계 및 범죄혐의를 조사할 예정”이라고 말했다. 금감원은 검사반을 꾸려 개인정보 관리부실 검사에 착수했다.
농협금융지주는 이런 사실을 4월 15일 저녁에야 보고를 받은 것으로 알려졌다. 농협금융지주는 금감원 검사 결과에 따라 관련자를 엄중 문책할 것이라고 밝혔다. 농협카드에 이어 이번에 농협생명의 개인정보 유출 사건까지 겹쳐 농협금융지주 전반에 대한 불신이 높아질 것으로 전망된다.