회사·금감원 “고객 신용정보 유출 정황은 없어”
사이버 해킹 아닌 영업 직원 도덕적 해이
개보위 ‘134억 과징금’ 우리카드 사건과 유사
충청·전라 지점 산하 영업소 직원 12명 연루
“관련 직원 업무배제…징계 수위 추후 결정”
우리카드, SGI서울보증, 웰컴금융그룹, 롯데카드, 쿠팡페이에 이어 신한카드에서도 정보 유출 사고가 발생하면서 금융권 전반에 '정보유출 포비아(공포증)'가 확산되고 있다. 신한카드는 지방 지점 산하 영업소 직원들의 도덕적 해이로 가맹점 대표자 휴대전화번호 등 약 19만 건의 정보가 외부로 유출된 사건으로, 해킹 등 사이버 공격에 따른 전산 사고는 아니라고 설명했다. 금융감독원 역시 고객 카드번호나 계좌번호 등 신용정보 유출 정황은 확인되지 않았다는 데 무게를 두고 있으며, 현재로서는 현장 점검 여부를 결정하지 않은 것으로 파악됐다.
다만 이번 사고가 과거 우리카드의 신용카드 영업 위규 사례와 유사한 측면이 있는 만큼 금융감독당국의 점검 또는 검사로 이어질 가능성을 배제하기 어렵다는 관측도 나온다. 당시 개인정보보호위원회는 우리카드에 134억원대 과징금을 부과했고, 금감원 역시 2주간 현장 검사를 실시한 바 있다. 이 때문에 신한카드 사고를 계기로 감독당국의 추가 조치 여부에 금융권의 시선이 쏠리고 있다.
신한카드는 가맹점 대표자 휴대전화번호 등을 포함한 총 19만2088건의 정보가 유출된 것으로 추정돼 23일 개인정보보호위원회에 신고했다고 밝혔다. 구체적으로는 가맹점 대표자 휴대전화번호 18만1585건, 휴대전화번호·성명 8120건, 휴대전화번호·성명·생년·성별 2310건, 휴대전화번호·성명·생년월일 73건 등이다. 해당 정보는 신규 카드 모집 용도로 활용된 것으로 파악됐다.
사건 경위도 공개됐다. 신한카드에 따르면 지난달 12일 개보위가 정보 유출 관련 공익제보를 접수한 뒤 조사 착수에 앞서 사전 자료 제출을 요청했다. 신한카드는 다음 날 제보자가 제출한 가맹점 정보 약 28만 건과 자사 보유 데이터를 대조하며 내부 조사를 시작했다. 이후 약 2주간 제출 자료를 데이터화해 자사 데이터베이스(DB)와 비교·대조하고, 관련 직원들을 대상으로 대면 조사를 진행했다.
그 결과 신한카드는 2022년 3월부터 2025년 5월까지 신규 가맹점 가운데 19만2088곳의 가맹점 사업자등록번호, 상호명, 주소, 전화번호 등이 외부로 유출된 사실을 23일 최종 확인했다. 이에 따라 개보위에 신고하고 금감원에도 관련 내용을 보고했다.
내부 조사 결과, 충청·전라 지점 산하 영업소 소속 직원 12명이 카드 영업 실적을 높이기 위해 전직 신한카드 모집인 등에게 가맹점주 정보를 전달한 것으로 드러났다. 신한카드는 해당 직원 전원을 업무에서 배제했으며 향후 개보위 조사 결과와 범죄 혐의 여부에 따라 경찰 신고, 권고사직, 파면, 감봉 등 구체적인 제재 수위를 결정할 방침이다. 신한카드 관계자는 "직원들의 해사 행위 및 법률 위반 여부에 대한 조사가 마무리되면 필요 시 수사기관에 신고하는 등 추가 조치를 취할 것"이라고 밝혔다.
신한카드와 금감원은 현재까지 고객 카드번호나 계좌번호 등 신용정보 유출 정황은 확인되지 않았다고 설명했다. 유출된 정보가 추가로 확산됐을 가능성도 낮은 것으로 보고 있다. 다만 개보위의 과징금 부과나 시정명령, 금감원의 현장 점검 또는 수시 검사로 이어질 수 있는 여지는 남아 있어 긴장을 늦추지 않고 있는 분위기다.
앞서 개보위는 지난 3월27일 신용카드 신규 가입 유치를 위해 가맹점주 개인정보를 카드 모집인에게 전달한 우리카드에 대해 개인정보보호법 위반을 인정하고, 134억5100만 원의 과징금과 시정명령을 의결했다. 우리카드 인천영업센터는 2022년 7월부터 지난해 4월까지 약 21개월간 가맹점 관리 프로그램을 통해 최소 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등을 조회했고, 이후 카드 미보유 가맹점주 정보를 카카오톡과 이메일 등을 통해 모집인에게 전달했다. 이 과정에서 최소 20만7538명의 개인정보가 열람됐으며, 일부는 외부로 전달된 것으로 조사됐다.
신한카드 사고 역시 내부 직원의 영업 목적 정보 제공이라는 점에서 우리카드 사례와 유사한 구조를 띠고 있어, 개인정보보호법을 비롯한 관련 법령 위반 여부에 대해 개보위와 금감원이 면밀히 들여다볼 가능성이 있다는 분석이 나온다.
금융권에서는 이번 사고가 롯데카드나 쿠팡페이처럼 외부 해킹에 따른 사이버 사고는 아니지만, 내부 통제 시스템의 허점을 드러낸 사례라는 점에서 문제의 소지가 적지 않다고 보고 있다. 특히 카드사들은 내년 7월 2일까지 감독당국에 책무구조도를 제출해야 하는 상황에서, 내부 직원의 도덕적 해이로 사고가 발생한 만큼 감독당국의 관리·감독 기조가 업권 전반으로 강화될 수 있다는 우려도 제기된다. 사고 발생 시점이 금감원이 이찬진 원장 직속 소비자보호총괄 부문을 신설하고 관련 인사를 단행한 직후라는 점에서 '타이밍이 좋지 않다'는 평가도 나온다.
신한카드 관계자는 "고객 보호와 유사 사례 재발 방지를 위해 최선을 다하겠다"며 "이번 사안이 '목적 외 개인정보 이용'에 해당하는지, '정보 유출'로 볼 수 있는지에 대해서는 추가 조사가 필요하지만, 고객 보호 차원에서 정보 유출에 준하는 조치를 취하고 있다"고 말했다.
지금 뜨는 뉴스
한편 금감원은 롯데카드 개인정보 유출 사태 이후 수시 점검을 진행했고, 쿠팡페이 사고 당시에도 현장 점검에 착수한 바 있다. 금감원 관계자는 "이번 사안은 전산 사고(전자금융사고)가 아니라 내부 직원의 일탈 행위에 따른 금융사고로 보고 있다"면서도 "신용정보 유출 여부에 대한 추가 확인 결과를 토대로 점검이나 검사 여부를 결정할 예정"이라고 말했다.
문채석 기자 chaeso@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![[단독]'조폭 논란' 조세호, 패션 브랜드 결국 폐업](https://cwcontent.asiae.co.kr/asiaresize/308/2025122308485166365_1766447331.jpg)
