수백억 규모 고객 정보 “실수 아닌 고의로 빼돌렸다”… 국내 최대 카드사의 ‘섬뜩한 배신’

신한카드 내부 직원 일탈로 19만건 유출
우리카드 선례로 수백억 과징금 전망
카드업계 보안 시스템 구멍 또 드러나

국내 최대 신용카드사인 신한카드가 가맹점 대표자 개인정보 약 19만건을 유출한 사실이 확인되면서 업계에 비상이 걸렸다.

신한카드는 23일 가맹점 대표자의 휴대전화번호 18만1585건, 휴대전화번호와 성명 8120건, 휴대전화번호·성명·생년·성별 2310건, 휴대전화번호·성명·생년월일 73건 등 총 19만2088건이 유출됐다고 개인정보보호위원회에 신고했다.

영업 실적 압박이 낳은 내부 일탈

이번 사고는 외부 해킹이 아닌 내부 직원의 일탈 행위로 발생했다는 점에서 충격을 더한다.

신한카드 관계자는 “영업점을 관리하는 내부 직원이 신규 카드 모집 실적을 올리기 위해 가맹점 대표자 정보를 설계사에게 제공하는 과정에서 유출됐다”며 “마케팅 동의를 하지 않은 사람들도 있어 원래는 제공하면 안 되는 정보”라고 밝혔다.

공익 제보자가 개인정보보호위원회에 증거를 신고하면서 사건이 드러났으며, 개보위는 지난달 12일 신한카드에 관련 자료 제출을 요청했다.

신한카드는 약 한 달간 제보 자료와 내부 데이터베이스를 대조하며 사실 확인에 착수해 유출 규모를 특정했다.

우리카드 선례로 본 과징금 전망

업계는 신한카드가 과거 우리카드 사례와 유사한 수준의 과징금을 부과받을 것으로 전망하고 있다.

개인정보보호위원회는 올해 3월 가맹점주 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용한 우리카드에 134억5100만원의 과징금을 부과했다.

우리카드는 2022년 7월부터 2024년 4월까지 가맹점주 약 20만명의 정보를 조회해 카드 모집인에게 전달했으며, 이 중 7만4천여명은 마케팅 활용에 동의한 사실이 없었다.

신한카드의 유출 건수는 19만2088건으로 우리카드(7만5000여건)의 약 2.5배에 달한다. 이에 따라 신한카드에 수백억원대의 과징금이 부과될 가능성이 제기되고 있다.

반복되는 카드업계 보안 사고

카드업계의 개인정보 유출 사고는 이번이 처음이 아니다.

2014년 KB국민카드, 롯데카드, NH농협카드가 1억400만건의 고객정보를 유출한 사건이 발생했으며, 올해 8월에는 롯데카드에서 297만명의 고객정보가 해킹으로 유출되기도 했다.

보안 전문가들은 카드사들이 영업 실적 압박 속에서 내부통제 시스템을 소홀히 했다고 지적한다.

한 보안 전문가는 “직원의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록을 확인하는 등 내부통제 시스템을 강화해야 한다”고 강조했다.

신한카드는 주민등록번호나 카드번호, 계좌번호 등 민감한 신용정보와 일반 고객들의 정보는 유출되지 않았으며, 해킹이 아니므로 추가 확산 가능성은 낮다고 말했다.

또한 홈페이지에 사과문을 게시하고 가맹점 대표자가 본인의 정보 유출 여부를 확인할 수 있는 전용 조회 페이지를 운영하고 있다.

신한카드는 “현재까지 유출된 정보로 인한 피해는 확인되지 않았지만, 향후 피해가 발생할 경우 적극적으로 보상에 나설 계획”이라며 “내부 통제와 개인정보 관리 체계를 강화해 재발 방지에 나서겠다”고 밝혔다.