“3년간 몰랐다”…신한카드, 내부통제 구조적 취약 드러나

(챗 GPT)

신한카드의 개인정보 유출 사고는 외부 해킹이 아닌 내부 직원에 의한 유출로 확인됐다. 특히 2022년 3월부터 올해 5월까지 약 3년 넘게 유출 행위가 이어졌음에도 내부에서 이를 인지하거나 차단하지 못했다는 점에서 내부통제 체계의 구조적 취약성이 드러났다는 지적을 피하기 어렵게 됐다.

23일 신한카드에 따르면 유출된 정보는 신한카드 신규 가맹점 대표자의 휴대전화번호를 중심으로 성명, 생년, 성별 등이 결합된 형태로 총 19만2088건에 달한다. 주민등록번호, 카드번호, 계좌번호 등 신용정보는 포함되지 않았고 일반 고객 정보와도 무관하다는 것이 회사 측 설명이다.

이번 사안의 쟁점은 유출 정보의 민감도보다 내부통제 시스템이 정상적으로 작동했는지 여부가 될 것으로 보인다. 해킹으로 정보유출이 발생한 롯데카드 사태처럼 방화벽이나 외부 침입 대응의 문제가 아니라, 퇴직자의 내부 시스템 접근으로 사고가 발생한 쿠팡 사례와 유사하게 내부자를 전제로 한 접근 권한 관리와 모니터링 체계가 제대로 작동했는지가 핵심 쟁점이다.

내부 직원이 신규 카드 모집을 목적으로 가맹점 대표자 정보를 조회·활용하는 과정에서 접근 권한 관리나 이상 징후 탐지 체계가 사실상 작동하지 않았던 것으로 확인될 경우, 내부통제의 실효성 자체가 도마 위에 오를 수밖에 없다는 지적이다.

업계에서는 최근 롯데카드, SK텔레콤, 쿠팡 등 잇단 개인정보 유출 사례와 맞물려 카드업 전반에 대한 불신이 확대될 수 있다는 점을 우려하고 있다. 사고의 성격과 무관하게 개인정보 유출 사건이 또다시 발생했다는 인식이 누적되면서 카드사 전반의 신뢰 하락과 함께 감독당국의 관리·규제 강화 압력으로 이어질 가능성도 제기된다.

한 카드업계 관계자는 “이번 유출 대상이 가맹점주라는 점에서 일반 고객 피해와는 결이 다르다고 볼 수는 있다”면서도 “시기적으로 민감한 상황에서 유사한 사고가 이어지고 있는 만큼, 카드업계 전반을 대상으로 한 내부통제 강화 요구는 당분간 지속될 가능성이 크다”고 말했다.

아울러 영업 조직과 정보 접근 권한의 분리, 대량 조회에 대한 실시간 경보 체계, 외부 반출 차단 장치 등 내부통제 구조 전반을 재설계해야 한다는 지적도 커지고 있다.

이정환 한양대 경제금융학부 교수는 “이번 사건은 쿠팡 사례와 유사한 내부통제 실패로 봐야 한다”며 “데이터 관리 체계가 제대로 작동하지 않았고, 이후 단계인 모니터링 시스템 역시 실효성을 갖추지 못한 것으로 보인다”고 지적했다.

이어 “영업 조직에서 접근 가능한 정보가 개인에 의해 외부로 유출됐다는 점에서 단순한 일탈을 넘어 시스템 전반에 구조적 허점이 있었음을 의미한다”며 “내부 통제 측면에서는 상대적으로 더 심각한 사안”이라고 말했다.

이 교수는 개선 과제로 “우선 유사 사례가 있었는지에 대한 전수 조사를 실시하고, 정보 접근·관리 과정 전반에서 어떤 지점이 취약했는지 점검할 필요가 있다”며 “OECD 등 국제기구가 제시한 데이터 관리 원칙과 내부통제 기준에 부합하게 시스템이 설계·운영되고 있는지 점검하고, 국제 기준에 맞춘 관리 체계로 재정비해야 한다”고 강조했다.