(종합)우리카드에 이어 신한카드도 가맹점 대표자 정보 유출
신한카드에서 일부 가맹점 대표자의 개인정보 약 19만건이 내부 직원에 의해 유출된 사실이 확인됐다. 해킹이나 시스템 침입은 없었지만 내부 통제 실패가 사고의 핵심 원인으로 지목되고 있다.
신한카드는 23일 가맹점 대표자의 개인정보 19만2088건이 외부로 반출·전송된 정황이 확인돼 개인정보보호위원회에 신고했다. 유출된 정보는 △휴대전화번호 18만1585건 △휴대전화번호와 성명 8120건 △휴대전화번호·성명·생년·성별 2310건 △휴대전화번호·성명·생년월일 73건이다.
신한카드는 주민등록번호를 비롯해 카드번호, 계좌번호 등 민감한 신용정보는 포함되지 않았으며, 일반 고객 정보와도 무관하다고 설명했다. 다만 유출 대상 정보에 2022년 3월부터 2025년 5월까지 신규 가맹점 대표자의 개인정보가 포함된 것으로 확인되면서 개인정보 접근 권한 관리와 내부 모니터링 체계가 재대로 작동하지 않았다는 지적이 나온다.
유출된 정보는 신규 가맹점 대표자를 상대로 한 카드 영업에 사용됐으며, 회사가 허용한 범위를 벗어나 일부 내부 직원이 개인 영업 실적을 높이기 위해 무단으로 활용한 것으로 파악됐다. 이번 사안과 관련해 단순 조회를 포함해 개인정보 이용·유출에 관여한 직원은 모두 12명으로 조사됐다.
유출 방식은 해킹이 아닌 내부 직원이 업무용 모니터 화면을 휴대전화로 촬영하거나, 개인정보를 수기로 옮겨 적는 등 아날로그 방식이 동원된 것으로 조사됐다. 신한카드는 법률 검토를 거쳐 관련 직원들에 대한 징계 등 후속 조치를 진행할 예정이다.
신한카드는 재발 방지를 위해 시스템과 내부 통제를 전면 보완하겠다는 입장이다. 앞으로 업무 화면을 촬영할 경우 로그(접속 기록)가 남도록 시스템을 개선하고, 개인정보 조회·접근 기록에 대한 상시 모니터링을 강화할 계획이다. 개인정보 취급 직원을 대상으로 한 윤리 교육과 내부 규정 점검도 다시 실시한다.
회사는 외부 해킹이 아닌 내부 직원에 의한 사안인 만큼 유출 정보가 다른 곳으로 추가 확산할 가능성은 낮은 것으로 보고 있으며, 현재까지 실제 피해 사례도 확인되지 않았다고 밝혔다. 다만 금융권 안팎에서는 접근 권한 관리와 이상 징후 탐지, 사후 점검 체계를 전반적으로 재점검할 필요가 있다는 지적이 나온다.
독자들의 PICK!
이와 관련해 업계에서는 과거 우리카드 사례를 주요 선례로 보고 있다. 우리카드는 가맹점주의 개인정보를 동의 없이 카드 마케팅에 활용한 사실이 적발돼 개인정보위로부터 134억5100만원의 과징금을 부과받은 바 있다. 당시 개인정보위는 목적 외 이용과 내부 통제 부실을 핵심 위반 사유로 판단했다.
일반적으로 정보 유출은 개인정보가 회사의 관리·통제 범위를 벗어나 외부로 이전돼 이후 추가 확산이나 악용을 회사가 더 이상 통제할 수 없는 상태를 의미한다. 해킹에 의한 사고뿐 아니라 내부 직원이 개인정보를 외부로 반출한 경우도 이에 해당할 수 있다.
반면 목적 외 개인정보 이용은 개인정보가 외부로 빠져나가지 않았더라도 당초 수집·이용 목적을 벗어나 활용된 경우를 말한다. 예컨대 가맹점 관리나 계약 이행을 위해 수집한 개인정보를 고객의 별도 동의 없이 카드 발급이나 마케팅에 활용했다면 목적 외 이용에 해당하며, 이 역시 개인정보보호법 위반으로 판단될 수 있다.
신한카드 관계자는 "이번 사안이 목적 외 개인정보 이용에 해당하는지, 정보 유출로 볼 수 있는지에 대해서는 추가 조사가 필요하다"면서도 "고객 보호 차원에서 현재는 정보 유출에 준하는 조치를 취하고 있으며, 내부 통제와 개인정보 관리 체계를 전반적으로 재점검해 유사 사례가 재발하지 않도록 하겠다"고 말했다.
