카드업계에서 1년 만에 또다시 내부 직원에 의한 개인정보 유출 사고가 발생했다. 금융권 안팎에서는 보안이 개발이나 마케팅 투자에 가려 여전히 후순위로 밀려나는 구조적 한계가 반복되고 있다는 지적이 나온다.
유출된 정보 가운데 휴대전화번호만 포함된 경우가 18만1585건으로 가장 많았다. 휴대전화번호와 성명이 함께 노출된 건은 8120건, 휴대전화번호·성명·생년·성별이 포함된 정보는 2310건, 휴대전화번호·성명·생년월일이 포함된 사례는 73건으로 파악됐다.
이번 사고는 외부 해킹이 아닌 내부 직원의 행위로 발생했다. 5개 영업소에 소속된 직원 12명이 가맹점주 개인정보 조회 화면을 카메라로 촬영해 설계사에게 전달하는 방식으로 정보를 외부로 유출한 것으로 전해졌다. 해당 정보는 마케팅 활용을 위해 사전 동의가 필요한 사항으로, 무단 제공이 허용되지 않는다. 직원이 사적으로 정보를 유용한 사실이 드러나면서 내부통제 시스템의 허점이 노출됐다는 비판도 나온다.
특히 이번 사안은 약 3년이 지난 뒤 공익 제보를 계기로 뒤늦게 드러났다는 점에서 논란을 키우고 있다. 개인정보위는 지난달 12일 관련 제보를 접수한 뒤 신한카드에 자료 제출을 요구했다. 신한카드는 제보자가 제출한 약 28만 건의 가맹점 정보와 내부 데이터를 대조·분석하며 자체 조사에 착수했다. 데이터베이스(DB) 비교와 관련 직원 조사 등을 거쳐 2022년 3월부터 올해 5월까지 약 3년간 정보 유출이 지속됐다는 사실을 확인했다.
개인정보 유출 사실 자체가 손해로 인정될 경우 손해배상 책임으로 이어질 수 있다는 점도 부담 요인으로 거론된다. 권헌영 고려대학교 정보보호대학원 교수는 “2차 피해가 발생하지 않더라도 정보 유출이 확인된 것만으로도 배상 대상이 될 수 있다”며 “직접적인 재산상 손해가 없더라도 정신적 손해에 대한 위자료 형태로 배상이 이뤄질 가능성이 있다”고 설명했다. 이어 “법원에서는 통상 1인당 10만~30만원, 많게는 50만원까지 위자료를 인정하는 사례가 있다”고 덧붙였다.
논란이 확산되자 박창훈 신한카드 사장도 공식 사과에 나섰다. 그는 23일 홈페이지에 게시한 ‘개인정보 유출 사실 안내 및 사과문’에서 “이번 정보 유출은 해킹 등 외부 침투가 아닌 자사 직원에 의해 발생했으며, 카드 모집 영업에 활용된 것으로 확인됐다”고 밝혔다. 이어 “유출 사실을 인지한 즉시 추가 유출을 차단하고 내부 프로세스 점검을 완료했다”며 “이번 개인정보 유출로 심려를 끼쳐드린 점에 대해 깊이 사과드린다”고 말했다.
전문가들은 유출된 정보가 2차, 3차로 재유통돼 범죄에 악용될 가능성을 가장 큰 위험 요인으로 꼽는다. 황석진 동국대 국제정보보호대학원 교수는 “가맹점주 전화번호와 성명은 보이스피싱 조직이 정교한 타깃팅을 하는 데 활용할 수 있는 핵심 정보”라며 “영업에 즉시 활용 가능한 ‘살아 있는 가맹점 정보’라는 점에서 위험성이 더욱 크다”고 말했다. 그는 “직원이 대량의 데이터를 조회·추출할 수 있는 구조 자체와 이에 대한 통제가 미흡했던 점이 문제”라고 지적했다.
금융감독원은 추가적인 개인신용정보 유출 가능성과 정보보호 관련 내부통제 전반을 점검하기 위해 신한카드에 대한 현장검사에 착수할 방침이다. 금융당국 관계자는 “계좌번호 등 민감한 개인신용정보의 추가 유출이 확인될 경우 관련 법령에 따라 신속히 조치하겠다”고 밝혔다.
“보안은 늘 뒷전”…카드업계, 반복되는 개인정보 유출
금융권 안팎에서는 보안이 당장의 수익 창출과 직접 연결되지 않는다는 인식 속에 투자와 관리의 우선순위에서 여전히 밀려나 있다는 지적이 나온다. 카드업계의 개인정보 유출 사고는 과거에도 반복돼 왔다. 2014년 KB국민카드·NH농협카드·롯데카드에서 발생한 대규모 고객정보 유출 사건 당시에는 외주 용역 직원이 내부 전산망에 접근해 1억 건이 넘는 개인정보를 외부로 반출하며 사회적 파장이 컸다. 해당 사건은 최고경영자(CEO) 중징계와 대규모 손해배상, 영업 위축으로 이어졌다.
사건 이후 카드사들은 보안 태스크포스(TF)를 구성하고 외부 전문 컨설팅을 도입하는 등 정보보호 강화에 나섰다. 그러나 이후에도 크고 작은 정보 유출 사고가 반복되며 체질적인 변화로까지는 이어지지 못했다는 평가가 나온다. 전산 시스템은 상당 부분 보완됐지만, 내부 인력에 따른 위험을 어떻게 관리할 것인지를 두고는 여전히 뚜렷한 해법이 없다는 지적이다.
실제로 우리카드 역시 지난해 가맹점주 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용하고, 영업센터 직원이 해당 정보를 카드 모집인에게 전달한 사실이 드러났다. 이와 관련해 우리카드는 개인정보위로부터 134억원의 과징금을 부과받았다. 권헌영 교수는 “인사 관리와 일상적인 보안 통제가 체계적으로 이뤄지는 조직일수록 정보 유출 사고가 상대적으로 적다”며 “현업에 종사하는 모든 직원에게 보안 문화가 정착돼야 하고, 경영진이 이를 분명한 목표로 삼아 관리해야 한다”고 말했다.
일각에서는 사고를 완전히 차단하려는 접근보다, 발생 가능성을 전제로 피해를 최소화하는 방향으로 관리 체계를 전환해야 한다는 의견도 나온다. 정보 유출은 특정 기업에 국한된 문제가 아니라 전 산업 전반에서 상시적으로 발생할 수 있는 위험이라는 인식에서다.
박춘식 아주대 사이버보안학과 교수는 “완벽하게 사고를 막는 것은 현실적으로 어렵다”며 “사고가 발생할 수 있다는 점을 인정하고, 피해를 줄이고 책임을 명확히 하는 방향으로 제도를 설계해야 한다”고 말했다. 그는 “개인정보 보호에 대한 국민적 인식이 높아질수록 정부와 기업 역시 그 수준에 맞는 보안 체계와 서비스를 갖출 수밖에 없다”며 “미국처럼 기업의 자율적인 보안 강화를 유도하되, 사고 발생 시에는 강력한 책임을 묻는 ‘자율 보안 책임 강화’ 모델을 검토할 필요가 있다”고 덧붙였다.
한편 신한카드는 현재까지 조사 결과 주민등록번호, 카드번호, 계좌번호 등 민감한 신용정보는 유출되지 않았다는 입장이다. 또한 일반 고객 정보와는 무관하다는 점도 강조했다. 신한카드는 재발 방지를 위해 개인정보 조회·접근 기록에 대한 상시 모니터링을 강화하고, 업무 화면 촬영 시 로그가 남도록 시스템을 개선할 방침이다. 개인정보 유출에 연루된 직원들을 업무에서 배제하고 형사 고발 등 추가 조치도 검토하고 있다.
