(상보)최근 3년여 신규 가맹점 대표 휴대전화번호·이름 등 정보...해킹이나 사이버공격은 아냐
신한카드에서 일부 가맹점 대표자의 휴대전화번호 등 개인정보 약 19만건이 유출됐다. 외부 해킹이나 사이버 공격에 따른 유출은 아닌 것으로 파악됐지만, 내부 직원의 목적 외 이용을 사전에 걸러내지 못한 점에서 내부 통제 시스템의 실효성에 대한 지적이 나온다.
신한카드는 23일 가맹점 대표자의 개인정보 19만2088건이 신규 카드 모집 과정에서 유출된 것으로 파악돼 개인정보보호위원회에 신고했다고 밝혔다. 유출 항목은 △휴대전화번호 18만1585건 △휴대전화번호와 성명 8120건 △휴대전화번호·성명·생년·성별 2310건 △휴대전화번호·성명·생년월일 73건 등이다.
신한카드 측은 조사 결과 주민등록번호를 비롯해 카드번호, 계좌번호 등 민감한 신용정보는 포함되지 않았고, 일반 고객 정보와도 무관하다고 설명했다. 다만 유출된 정보에 2022년 3월부터 2025년 5월까지 신규 가맹점 대표자의 개인정보가 포함된 것으로 확인되면서, 개인정보 접근 권한 관리와 내부 모니터링 체계가 충분히 작동했는지를 두고는 문제 제기가 불가피하다는 평가가 나온다.
이번 사안은 공익 제보자가 가맹점 대표자의 개인정보 유출 정황을 담은 자료를 개인정보보호위원회에 제출하면서 드러났다. 개인정보위는 지난 11월12일 신한카드에 조사 착수 전 사전 자료 제출을 요청했고, 신한카드는 이튿날인 11월13일부터 사실 관계 확인을 위한 내부 조사에 착수했다.
제보자가 제출한 자료는 메신저 사진 파일 등 총 2247개 파일로, 가맹점 정보 약 28만건에 달했다. 신한카드는 해당 자료를 데이터화한 뒤 자사 데이터베이스(DB)와 비교·대조하고, 출력물 이전 내역과 외부 전송 로그 분석, 내부 관련자에 대한 대면 조사를 병행했다. 제보된 데이터 형태가 일정하지 않아 DB와 비교 가능한 형태로 정형화하는 데 시간이 소요되면서 조사는 지난 5일까지 이어졌다.
조사 결과 2022년 3월부터 2025년 5월까지 신규 가맹점 가운데 19만2088곳의 사업자등록번호, 상호명, 가맹점 주소, 가맹점 전화번호 등 가맹점 정보와 함께, 동일 수의 가맹점 대표자 개인정보가 외부로 반출·전송된 정황이 확인됐다. 이들 정보는 신규 가맹점 대표자를 상대로 한 카드 영업에 사용됐으며, 일부 내부 직원이 개인 영업 실적을 높이기 위해 무단으로 활용한 것으로 파악됐다.
신한카드는 외부 해킹이 아닌 내부 직원에 의한 사안인 만큼 유출 정보가 다른 곳으로 추가 확산할 가능성은 낮은 것으로 보고 있다. 현재까지 관련 피해 사례도 확인되지 않았다는 설명이다. 다만 금융권 안팎에서는 "해킹이 아니더라도 유출 대상에 최근 3년여 신규 가맹점 데이터가 포함된 점을 감안하면, 개인정보 접근 권한 관리와 이상 징후 모니터링, 사후 점검 체계 전반을 점검할 필요가 있다"는 지적이 나온다.
독자들의 PICK!
신한카드는 홈페이지에 안내문과 사과문을 게시하고, 가맹점 대표자가 본인의 정보 포함 여부를 확인할 수 있는 조회 페이지를 운영 중이다. 동시에 해당 가맹점 대표자들에게 개별 안내도 진행하고 있다. 회사 측은 "현재까지 확인된 피해는 없으나, 향후 피해가 발생할 경우 적극적으로 보상에 나설 계획"이라고 밝혔다.
신한카드 관계자는 "이번 사안이 목적 외 개인정보 이용에 해당하는지, 정보 유출로 볼 수 있는지에 대해서는 추가 조사가 필요하다"면서도 "고객 보호 차원에서 정보 유출에 준하는 조치를 취하고 있으며, 내부 통제와 개인정보 관리 체계를 전반적으로 점검해 유사 사례가 재발하지 않도록 하겠다"고 말했다.
