[진단] 신한카드 20만 건 유출, “해킹 아냐”… 내부 통제 ‘공백’ 드러나

[유형길 기자 @이코노미톡뉴스] 신한카드에서 가맹점 대표자 개인정보 약 20만 건이 유출된 사실이 확인됐다. 해당 사고와 관련 해킹이나 외부 침입이 아닌, 내부 직원의 신규 영업 과정에서 정보를 유출한 정황이 드러났다. 특히 이런 행위가 2022년 3월부터 3년이 넘도록 이어진 것으로 확인되면서, 내부 관리 불능이나 통제 기능의 마비라는 지적이 나온다.  

“해킹은 아니다”

신한카드는 가맹점 대표자의 휴대전화번호를 포함한 개인정보 19만2088건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 지난 23일 밝혔다. 유출 정보는 휴대전화번호 단독 정보부터 성명, 생년월일, 성별이 포함된 항목까지 다양하다.

신한카드는 현재까지 조사 결과 주민등록번호 등 고유식별정보와 카드번호, 계좌번호 등 신용정보는 유출되지 않은 것으로 확인됐으며, 일반 고객 정보와도 관련이 없다고 설명했다. 또 해킹이나 외부 침투에 따른 사고는 아니라고 밝혔다. 최근 산업계 전반으로 확대되고 있는 해킹이나 외부 침입과는 성질이 다르다는 설명이다. 

신한카드 관계자는 24일 취재진과의 통화에서 “(해당 사고는) 외부 해킹에 따른 사고가 아니다”라고 잘라 말했다.

그러면서 “내부 직원이 개인정보를 사진 촬영하거나 수기로 정리해 설계사에게 전달하는 과정에서 신규 카드 모집 영업이 이뤄진 것으로 파악됐다”라며 “개인정보보호위원회에 접수된 제보를 통해 사안을 인지했고, 소명 요청 이후 내부 조사를 거쳐 관련 내용을 신고했다”라고 말했다.

3년간 이어진 정황?

즉 이번 유출은 영업점을 관리하는 내부 직원이 신규 카드 모집 실적을 높이기 위해 가맹점 대표자의 정보를 설계사에게 제공하는 과정에서 발생한 것으로 조사됐다. 해당 정보에는 마케팅 동의를 하지 않은 가맹점 대표자의 개인정보도 포함돼 있었다.

이 같은 행위는 2022년 3월부터 2025년 5월까지 이어진 정황이 확인됐다. 신한카드는 유출된 정보가 다른 곳으로 추가 확산됐을 가능성은 낮다고 설명했으며, 현재까지 관련 피해는 접수되지 않았다고 밝혔다.

외부 공격 아닌 ‘내부 통제’ 문제로 성격 달라

이번 사고는 최근 발생한 유통·금융업계의 해킹 사고와는 성격이 다른 것은 맞다. 앞서 예스24는 랜섬웨어 해킹으로 서비스 장애와 정보 유출 논란을 겪었고, 롯데카드 역시 외부 침입에 따른 정보 유출 사고를 겪었다.

반면 신한카드 사례는 외부 공격이 아닌 내부 접근 권한을 가진 직원의 행위로 발생했다는 점에서, 기술적 보안보다 내부 관리와 정보 제공 절차, 권한 점검 체계가 제대로 작동했는지가 쟁점으로 떠오른다.

목적 외 이용인가, 정보 유출인가

신한카드는 이번 사안이 목적 외 개인정보 이용에 해당하는지, 정보 유출로 볼 수 있는지는 추가 조사가 필요하다고 밝혔다. 다만 고객 보호 차원에서 정보 유출에 준하는 조치를 취하고 있다고 설명했다.

현재 신한카드는 12월24일 홈페이지를 통해 사고 사실과 사과문을 게시하고, 가맹점 대표자가 본인의 정보 포함 여부를 확인할 수 있는 전용 조회 페이지를 운영 중이다. 아울러 해당 가맹점 대표자들에게 개별 안내도 진행하고 있다. 신한카드는 향후 피해가 발생할 경우 적극적인 보상에 나설 계획이라고 밝혔다.

이번 사고는 해킹이 아니었다는 점에서 안도감을 주기보다는, 내부 관리 체계 전반을 다시 점검해야 할 필요성을 드러낸 사례로 해석된다. 특히 장기간에 걸쳐 부적절한 정보 제공 정황이 확인된 만큼, 내부 통제와 점검 시스템이 어떤 방식으로 개선될지에 관심이 쏠린다.