금융회사 보안사고가 잇따르는 가운데, 대형 카드사인 신한카드에서도 개인정보가 다수 유출된 사고가 발생했다. 신한카드 측은 정보 유출에 따른 추가 피해는 없었다고 선을 그었으나 목적 외 이용과 정보 유출 중 어느 범주로 볼지에 관해서는 향후 조사가 불가피해 보인다. 현재 이 건은 개인정보보호위원회에 신고된 상태이다.

다만 우려했던 해킹이나 외부 침입의 흔적은 없는 것으로 파악됐다. 신한카드 측은 "가맹점 내부 직원의 영업 과정에서 정보가 유출된 것으로 확인되면서 개인정보 관리와 영업 통제 전반에 대한 점검할 것"이라고 전했다.

23일 신한카드에 따르면 한 가맹점 대표자의 휴대전화번호를 포함한 개인정보 19만2088건이 신규 카드 영업 과정에서 부적절하게 활용된 것을 확인했다. 세부적으로 보면 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 △휴대전화번호·성명·생년월일 73건 등이다.

다행히도 민감한 신용정보인 주민등록번호, 카드번호, 계좌번호 등은 유출되지 않은 것으로 조사됐다. "일반 고객 정보 역시 이번 사안과는 무관하다"는 것이 신한카드의 설명이다.

하지만 내부 직원이 개인정보 성격을 띠는 가맹점 대표자의 휴대전화번호를 장기간 활용해 왔다는 점에서 관리 책임 논란은 피하기 어려워 보인다. 이번 사안은 공익 제보를 계기로 불거졌다. 개인정보위가 제보 내용을 토대로 사전 자료 제출을 요청하자 신한카드는 즉시 내부 조사에 착수했다.

제보자가 제출한 약 28만건의 가맹점 관련 자료를 데이터베이스(DB)와 대조하는 과정에서 출력물 이동 내역과 외부 전송 로그 분석, 관련 직원 대면 조사까지 진행됐다. 이에 따라 2022년 3월부터 2025년 5월까지 신규 가맹점 대표자를 대상으로 한 카드 영업 과정에서 내부 직원이 영업 실적을 목적으로 개인정보를 부적절하게 활용한 정황이 전해졌다.

신한카드는 해당 행위가 개인 차원의 일탈이라는 점을 강조하고 있으나 수년간 이어진 행위가 걸러지지 않았다는 점에서 내부통제 체계가 제대로 작동하지 않았다는 비판도 나온다.

특히 영업 현장에서 개인정보 접근 권한과 활용 범위에 대한 통제가 충분했는지 출력·전송 과정에 대한 사후 모니터링이 실효적으로 이뤄졌는지가 쟁점으로 떠오르고 있다. 다만 신한카드는 내부 직원 교육을 꾸준히 진행하고 핵심 파일의 외부 유출을 막기 위한 자체 시스템도 갖추고 있었던 것으로 전해진다.

신한카드는 현재 홈페이지에 안내문과 사과문을 게시하고 가맹점 대표자가 정보 유출 여부를 확인할 수 있는 전용 페이지를 운영 중이다. 개별 안내도 병행하고 있으며 앞으로 실제 피해가 발생하면 즉각 보상에 나선다는 방침이다.

일각에서는 이번 사안을 곧바로 '정보 유출'로 단정하기에는 법리적 쟁점이 남아 있다는 지적도 나온다. 개인정보보호법에 따르면 정보 유출은 데이터가 권한 없는 제3자에게 이전되거나 외부로 확산된 경우를 전제로 한다.

이번 사안은 내부 직원이 접근 권한을 가진 정보를 영업 목적에 활용한 사례에 해당할 수 있다는 분석이다. 이 경우 '목적 외 이용'으로 판단될 여지도 있어 최종 판단은 개인정보위의 조사 결과에 따라 갈릴 가능성이 크다.

실제로 신한카드는 이번 사안을 목적 외 이용과 정보 유출 가운데 어느 범주로 볼지에 대해서는 추가 조사가 필요하다고 설명했다. 그럼에도 고객 보호 차원에서 정보 유출에 준하는 대응 조치를 취하고 있다고 강조했다.

신한카드 관계자는 "이번 일로 심려를 끼친 점에 대해 깊은 사과드린다"며 "고객 보호와 유사 사례 재발 방지를 위해 최선의 노력을 다할 것"이라고 말했다.

김홍준 기자