[종합2보] 신한카드, 개인정보 19만 건 유출…“3년간 직원이 무단 사용”

내부 직원 영업 활용 과정서 발생…접근 권한·모니터링 체계 쟁점 전망

신한카드에서 가맹점 대표자의 휴대전화번호 등 개인정보가 대규모로 유출된 사실이 확인됐다. 외부 해킹이 아닌 내부 직원에 의한 유출로, 약 3년 넘게 유출 행위가 이어졌음에도 이를 인지하거나 차단하지 못했다는 점에서 내부통제 체계의 구조적 취약성이 드러났다는 지적이 나온다.

23일 신한카드에 따르면 이번에 유출된 정보는 신한카드 신규 가맹점 대표자의 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 △휴대전화번호·성명·생년월일 73건 등 총 19만2088건이다. 주민등록번호 등 고유식별정보나 카드번호, 계좌번호 등 신용정보는 포함되지 않았으며, 일반 고객 정보와도 무관하다는 것이 회사 측 설명이다.

이번 사고는 개인정보보호위원회(개인정보위)에 접수된 공익 제보를 계기로 드러났다. 조사 결과 2022년 3월부터 2025년 5월까지 신규 가맹점 가운데 19만2088곳의 가맹점 정보와 함께 가맹점 대표자의 개인정보가 유출된 사실이 확인됐다. 유출 행위는 일부 내부 직원이 신규 가맹점 대표자를 대상으로 카드 영업을 하기 위해 정보를 조회·활용한 과정에서 발생한 것으로 파악됐다.

신한카드는 해킹 등 외부 침입에 따른 사고는 아니며, 추가 확산 가능성은 크지 않다고 설명했다. 그러나 이번 사안의 쟁점은 유출 정보의 민감도보다 내부통제 시스템이 정상적으로 작동했는지 여부가 될 것으로 보인다. 해킹으로 정보유출이 발생한 롯데카드 사태처럼 방화벽이나 외부 침입 대응의 문제가 아니라, 퇴직자의 내부 시스템 접근으로 사고가 발생한 쿠팡 사례와 유사하게 내부자를 전제로 한 접근 권한 관리와 모니터링 체계가 제대로 작동했는지가 핵심 쟁점이다.

내부 직원이 신규 카드 모집을 목적으로 가맹점 대표자 정보를 조회·활용하는 과정에서 접근 권한 관리나 이상 징후 탐지 체계가 사실상 작동하지 않았던 것으로 확인될 경우, 내부통제의 실효성 자체가 도마 위에 오를 수밖에 없다는 지적이다.

업계에서는 최근 롯데카드, SK텔레콤, 쿠팡 등 잇단 개인정보 유출 사례와 맞물려 카드업 전반에 대한 불신이 확대될 수 있다는 점을 우려하고 있다. 사고의 성격과 무관하게 개인정보 유출 사건이 또다시 발생했다는 인식이 누적되면서 카드사 전반의 신뢰 하락은 물론 감독당국의 관리·규제 강화 압력으로 이어질 가능성도 제기된다.

한 카드업계 관계자는 “이번 유출 대상이 가맹점주라는 점에서 일반 고객 피해와는 결이 다르다고 볼 수는 있다”면서도 “시기적으로 민감한 상황에서 유사한 사고가 이어지고 있는 만큼, 카드업계 전반을 대상으로 한 내부통제 강화 요구는 당분간 지속될 가능성이 크다”고 말했다.

아울러 영업 조직과 정보 접근 권한의 분리, 대량 조회에 대한 실시간 경보 체계, 외부 반출 차단 장치 등 내부통제 구조 전반을 재설계해야 한다는 지적도 커지고 있다. 정보 접근·관리 과정 전반에 대한 전수 점검을 통해 유사 사례가 있었는지 확인하고, 데이터 관리와 모니터링 체계가 OECD 등 국제기구가 제시한 내부통제·정보보호 기준에 부합하게 설계·운영되고 있는지 점검해야 한다는 것이다.

이정환 한양대 경제금융학부 교수는 “이번 사건은 쿠팡 사례와 유사한 내부통제 실패로 봐야 한다”며 “데이터 관리 체계가 제대로 작동하지 않았고, 이후 단계인 모니터링 시스템 역시 실효성을 갖추지 못한 것으로 보인다”고 지적했다. 이어 “내부통제 시스템의 허점을 보여주는 심각한 사안”이라고 평가했다.