[대한경제=최장주 기자] 신한카드에서 가맹점 대표자의 개인정보 19만 여건이 내부 직원에 의해 유출되는 대형사고가 터졌다.

해킹이나 외부 침입이 아닌 명백한 내부통제 실패로, 과거 우리카드 사건처럼 과도한 실적 압박이 부른 비극이라는 지적이 나온다.

23일 신한카드는 가맹점 대표자의 개인정보 19만2088건이 외부로 반출·전송된 정황을 확인하고 개인정보보호위원회에 신고했다고 밝혔다.  유출된 정보는 △휴대전화번호 18만1585건 △휴대전화번호ㆍ성명 8120건 △휴대전화번호ㆍ성명ㆍ생년ㆍ성별 2310건 △휴대전화번호ㆍ성명ㆍ생년월일 73건이다.

주민등록번호나 카드번호 같은 민감한 신용정보가 포함되진 않았으나, 2022년 3월부터 올해 5월까지 신규 가맹점 대표자 정보가 무단 활용됐다는 점에서 내부통제 체계의 허점이 여실히 드러났다.

유출된 정보는 신규 가맹점 대표자를 상대로 한 카드 영업에 사용됐다. 회사가 허용한 범위를 벗어나 일부 내부 직원이 개인 영업 실적을 높이기 위해 무단으로 활용한 것으로 파악됐다. 이번 사건과 관련해 개인정보 이용·유출에 관여한 직원은 모두 12명으로 조사됐다.

유출 방식은 업무용 모니터 화면을 휴대전화로 촬영하거나 개인정보를 수기로 옮겨 적는 등 아날로그 방식이 동원됐다.

업계에서는 이번 사건 배경에 신한카드의 실적 악화에 따른 압박이 있다고 보고 있다. 신한카드는 과거 카드업계 1위를 지켜왔지만 지난해부터 삼성카드에 선두자리를 빼앗기며 자존심을 구겼다. 

실제 신한카드의 당기순이익은 지난해 5721억원으로, 삼성카드(6646억원)에 크게 뒤쳐진다.

금융소비자 입장에서는 이번 사건이 해킹 등 사이버 침해 사고보다 더 심각하다는 평가가 나온다. 시스템이나 기계장치가 아닌 임직원과 조직에 대한 신뢰가 깨질 수 있어서다.

현재 카드사는 책무구조도를  도입하지 않은 상황이다. 내년 7월 이후 의무화된다.

만약 책무구조도를 도입했다면 명백한 내부통제 실패로, 대표이사 또는 신한금융지주 임원까지 책임이 돌아갈만한 사고다. 

한 금융권 관계자는 “해킹으로 인한 사이버 침해의 경우 보안 투자 부실 등의 문제는 있지만 기업 역시 피해자라는 점에서 상황이 다르다”며 “이번 사건은 내부통제 실패 및 내부 요인으로 인해 막대한 양의 개인정보가 회사의 관리·통제 범위를 완전히 벗어나 외부로 유출됐다는 점에서 더 큰 문제”라고 말했다. 

카드업계에서는 이런 사고가 처음이 아니다. 우리카드는 지난 2022년 7월부터 지난해 4월까지 가맹점주의 개인정보를 동의 없이 카드 마케팅에 활용한 사실이 적발돼 올해 3월 개인정보위로부터 134억5100만원의 과징금을 부과받았다. 당시 개인정보위는 목적 외 이용과 내부 통제 부실을 핵심 위반 사유로 판단했다.

신한카드는 재발 방지를 위해 업무 화면 촬영 시 로그(접속 기록)가 남도록 시스템을 개선하고, 개인정보 조회·접근 기록에 대한 상시 모니터링을 강화할 계획이다. 관련 직원들에 대한 징계 등 후속 조치도 진행할 예정이다.

최장주 기자 cjj323@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉