신한카드 '가맹점주 개인정보' 19만건 유출

신한카드에서 가맹점 대표 휴대폰 번호 등 약 19만 건의 개인정보가 유출됐다. 일부 직원이 카드 모집 영업에 활용하기 위해 가맹점 개인정보 등을 빼돌린 것으로 확인됐다. 정보 유출 사고가 잇달아 발생하자 카드업계 전반의 내부통제 및 개인정보 관리 강화가 시급하다는 지적이 제기된다.

◇개인정보위 통해 파악

신한카드는 2022년 3월부터 올해 5월까지 신규 가맹점 대표 휴대폰 번호, 생년월일 등 개인정보 19만2088건이 유출돼 개인정보보호위원회와 금융당국에 신고했다고 23일 밝혔다. 유출된 정보 가운데 가맹점 대표 휴대폰 번호가 전체의 94.5%(18만1585건)에 달했다. 휴대폰 번호와 함께 이름이 유출된 사례는 8120건, 여기에 생년월일·성별까지 유출된 사례는 2310건이었다. 다만 주민등록번호, 카드번호, 계좌번호 등 민감한 신용정보는 유출되지 않은 것으로 확인됐다. 신한카드는 이날 홈페이지에 “일부 가맹점 대표의 개인정보가 유출된 점에 대해 사과드린다”며 “이번 사태로 피해가 발생할 경우 신속히 확인하고 보상할 것”이라고 박창훈 사장 명의의 사과문을 게시했다.

이번 사고는 공익 제보자가 가맹점 대표의 개인정보가 외부로 유출됐다는 증거를 개인정보위에 신고하면서 드러났다. 신한카드는 지난달 12일 개인정보위에서 가맹점 대표의 개인정보가 유출된 정황이 확인됐다는 통보를 받고 조사에 들어갔다.

지난 5일까지 3주간 데이터 분석 작업과 내부 직원 조사를 한 뒤 이날 최종 유출 규모 등을 개인정보위와 금융당국에 신고했다. 신한카드 관계자는 “유출된 데이터와 내부 데이터베이스 자료의 형태가 달라 최종 피해 규모를 확정하는 데 예상보다 시간이 더 오래 걸렸다”고 해명했다.

앞서 대규모 개인정보 유출 사고를 낸 롯데카드와 다른 점은 해킹 등 외부 침투가 아니라 직원 일탈에 의한 유출이란 것이다. 내부 직원이 가맹점을 대상으로 카드 영업을 하기 위해 개인정보를 탈취했다. 최소 5개 영업소 직원 12명이 연루된 것으로 파악됐다. 이들은 개인정보를 조회한 모니터 화면을 카메라로 찍어 설계사에게 보내는 방식 등으로 개인정보를 빼낸 것으로 알려졌다.

◇금융당국, 추가검사 검토

직원이 사적으로 정보를 유용한 것으로 나타나자 카드업계의 기존 내부통제 시스템상 허점이 드러났다는 비판이 나온다. 우리카드에서도 지난해 4월 가맹점 대표 휴대폰 번호 등 약 7만5000건의 개인정보가 유출됐다. 우리카드는 개인정보위로부터 134억원의 과징금을 부과받았다.

롯데카드 해킹 사태의 파장이 가시지 않은 상황에서 내부 인력에 의한 보안 사고까지 겹치자 금융사의 보안 관리 체계에 대한 대대적 점검이 필요하다는 지적이 제기된다. 지난 8월 롯데카드에서는 해킹으로 297만 명의 개인정보가 유출됐다. 특히 28만 명의 카드 비밀번호와 카드 뒷면 보안코드(CVC)까지 빠져나가는 등 민감한 신용정보가 포함돼 우려를 낳았다.

금융당국은 신용정보 유출 여부에 따라 추가 검사를 하기로 했다. 이럴 경우 금융감독원이 나서 수시검사를 할 수 있다.

장현주/박재원 기자 blacksea@hankyung.com