신한카드의 지난해 임직원 정보보호 교육 시간이 전년 대비 10% 넘게 감소한 것으로 나타났다. 정보기술(IT) 대비 정보보호 예산 비중도 3년 만에 8%대로 떨어졌다. 정보보호에 대한 안일한 인식과 소극적인 투자가 내부 직원의 대규모 개인정보 유출 사고를 초래했다는 지적이 나온다.
○임직원 정보보호 교육 시간 12% 감소
24일 신한카드 지속가능경영보고서에 따르면 지난해 이 회사 임직원의 정보보호 교육 시간은 총 1만6023시간으로 집계됐다. 전년 대비 12.3% 감소했다. 같은 기간 외부·협력업체 정보보호 교육 시간도 1만5649시간에서 1만4821시간으로 5.3% 줄었다.정보보호 예산 비중도 내림세다. 신한카드의 지난해 IT 총예산 대비 정보보호 예산 비중은 8.2%를 기록했다. 2021년 8.3%에서 2022년 10.8%로 오른 뒤 2023년 9.3%로 줄어들었다. 지난해에는 3년 만에 8%대로 떨어졌다.
신한카드에 따르면 2022년 3월부터 2025년 5월까지 신규 가맹점 대표자의 휴대폰 번호 등 개인정보 19만2088건이 유출된 것으로 확인됐다. 최소 5개 영업소에서 직원 12명이 연루돼 빼돌린 것으로 알려졌다. 이들은 개인정보 조회 화면 등을 사진으로 찍어 공유하고 직접 수기로 적는 방식을 사용한 것으로 파악됐다. 신규 가맹점 대표들을 대상으로 카드 영업을 하려고 했다는 게 이들의 해명이다.
○신설된 내부통제위원회도 '유명무실'
문제는 직원 12명이 19만건이 넘는 개인정보를 3년 넘게 유출하는 과정에서 신한카드의 내부 통제가 작동하지 않았다는 점이다. 내부통제위원회도 제 역할을 하지 못했다는 지적이다. 신한카드는 지난해 12월 이사회 내 내부통제위원회를 신설했다. 금융사고 등 내부통제 취약 부분 점검 및 대응 방안 마련과 임직원의 윤리의식·준법의식 제고를 위해 설치했다. 출범 이후 7회가량 내부통제위원회가 열렸지만, 내부 직원의 대규모 개인정보 유출 사고를 막는 데 역부족이었다는 평가다.신한카드의 과도한 실적 압박이 내부통제 부실로 이어진 게 아니냐는 우려도 나온다. 장기간 업계 1위를 유지한 신한카드는 지난해 삼성카드에 10년 만에 왕좌를 내줬다. 올해 대규모 희망퇴직을 단행하고 12년 만에 처음으로 신입직원을 뽑지 않는 등 경영 효율성 개선에 치중하고 있다. 이 과정에서 남은 직원들에 대한 실적 압박이 가중됐다는 게 업계의 관측이다.
개인정보가 유출된 가맹점주를 중심으로 집단 소송 움직임도 나타나고 있다. 로피드 법률사무소는 신한카드 유출 사고 피해 가맹점주를 위한 공동소송인단을 지난 23일부터 모집하고 있다. SKT 해킹과 쿠팡 사태 등의 사례를 고려해 1인당 최대 30만원의 위자료를 청구할 방침이다.
금융당국도 현장검사에 착수하기로 했다. 금융위원회는 이날 긴급 대책회의를 소집해 개인정보 유출 상황과 경위 등을 파악하고 검사 및 대응 방향, 정보 유출로 인한 추가 피해 방지 방안을 논의했다. 금감원은 추가적인 신용정보 유출 가능성, 정보보호 관련 내부통제 시스템 등을 면밀히 조사하기 위해 신한카드에 즉시 현장검사를 착수할 예정이다.
장현주 기자 blacksea@hankyung.com
관련뉴스
