유출된 정보만으로는 국내에서의 직접적인 금융거래는 거의 불가능하다.
그러나 국외에서 어떤 형태로든 피해가 발생할 수 있다고 전문가들은 지적했다.
김승주 고려대 정보보호대학원 교수는 "당장 급한 게 2차 피해를 최소화하는 일"이라며 "국내에서의 거래는 제한되겠지만, 몇몇 정보만 알면 해외에선 어떤 식으로든 악용해 금전적 피해를 줄 수 있다"고 지적했다.
실제로 최근 미국에선 최근 대형 유통업체 '타깃'(target)이 해킹을 당해 이때 유출된 정보를 바탕으로 카드 돌려막기에 악용된 사례가 보고된 바 있다.
이번에 유출된 정보는 성명, 휴대전화번호, 직장전화번호, 주민등록번호, 직장주소, 자택주소, 결제계좌, 신용한도, 카드유효기간 등 19가지에 이른다.
김 교수는 "해외 인터넷 사이트에는 카드번호와 유효기간만 입력해도 결제가 되는 곳이 존재한다"며 "이런 경우에 대비해 카드 관련 정보가 유출됐다면 새로 발급받는 게 가장 바람직하다"고 말했다.
카드번호, 유효기간만 있으면 이번에 유출되지 않은 CVC(카드 뒷면의 유효성 코드) 없이도 결제가 이뤄진다는 것이다.
국내에선 안심결제나 공인인증서를 통한 결제만 가능해 이번에 유출된 정보만으론 금전적인 피해를 볼 확률이 매우 낮다.
전형석 우리FIS 정보보안부장은 "이번에 유출된 19개 정보를 조합해 어떤 방식의 금융사기가 가능할지 분석했으나, 공인인증서나 보안카드 또는 OTP가 해킹이나 유출되지 않는 한 안전한 것으로 보인다"고 말했다.
이번에 유출된 정보를 바탕으로 은행에서 계좌를 만들거나 기존의 계좌 또는 CD·ATM에 비대면 채널로 접속하는 것은 불가능하다.
이같은 직접적인 피해에 앞서 가장 우려되는 대목은 보이스피싱과 스미싱의 급증이다.
김 교수는 "과거에도 개인정보 유출 사고 직후에는 보이스피싱과 스미싱이 확 증가하고는 했다"며 "정보가 굉장히 광범위하고 상세하게 유출돼 보이스피싱과 스미싱이 급증할 수 있다"고 우려했다.
특히 과거 개인정보 유출은 항목이 3~4가지에 불과했던 것과 달리 이번에는 자동차 보유 대수, 대출 관련 정보 등 웬만해선 알기 어려운 정보까지 새어나간 만큼 이같은 사기에 넘어갈 확률이 더 높아졌다는 것이다.
전 부장은 "스미싱이나 피싱은 그 사람에 대해 많은 정보를 알수록 쉬워진다"며 "'대출금의 이자가 연체됐다'고 속이는데 자신이 대출한 금액과 일치한다면 진짜인 것으로 오인할 수 있다"고 설명했다.
다만, 금융권 일각에서는 그동안 여러 차례 정보유출 사고로 이미 온 국민의 개인정보가 '비밀 아닌 비밀'이 되다시피 한 만큼 이번 사태가 눈에 띌 만한 피해로 이어지지는 않을 것이라는 자조 섞인 반응도 나온다.