신한카드에서 가맹점 대표자 약 19만명의 개인정보가 내부 직원에 의해 장기간 유출된 사실이 확인되면서 신한카드의 부실한 내부통제 관리가 비판의 도마에 올랐다. 해킹이나 외부 침투가 아닌 '내부자 일탈'로 드러나 단순한 개인 비위 차원을 넘어 개인정보 접근·관리 체계가 구조적으로 허술했다는 비판이 제기되고 있다.
특히 최근 금융감독원으로부터 해외 법인 관리와 정보 보호 시스템 전반에 대해 다수의 경영유의·개선 조치를 받은 사실이 재조명되면서 이번 사고가 예고된 결과였다는 지적도 나온다. 내부통제 시스템이 현장에서 제대로 작동하지 않았다는 점에서 신한카드의 수장인 박창훈 대표의 책임론이 불거지고 있다.
내부 직원이 빼낸 가맹점 정보 19만여 건…"3년간 몰래 영업에 활용"
23일 금융권에 따르면 신한카드는 내부 조사 결과 2022년 3월부터 올해 5월까지 약 3년에 걸쳐 가맹점 대표자의 개인정보가 내부 직원에 의해 무단 유출된 사실을 확인하고 개인정보보호위원회에 이를 신고했다. 유출된 정보는 총 19만2088건으로 대부분이 가맹점 대표자의 휴대전화번호였으며 일부는 성명과 생년, 생년월일 등이 함께 포함된 것으로 파악됐다.
구체적으로는 휴대전화번호만 유출된 건이 18만1585건으로 가장 많았고 휴대전화번호와 성명이 함께 유출된 사례가 8120건, 휴대전화번호·성명·생년·성별이 포함된 경우가 2310건, 휴대전화번호·성명·생년월일이 동시에 유출된 사례는 73건으로 집계됐다. 주민등록번호, 카드번호, 계좌번호 등 민감한 신용정보는 유출되지 않았고 일반 고객 정보도 포함되지 않았다는 게 신한카드 측 설명이다.
이번 사고는 외부 해킹과 같은 사이버 공격이 아니라 내부 직원이 신규 카드 모집을 위해 가맹점 정보를 무단으로 빼내 영업에 활용하는 과정에서 발생했다. 해당 직원은 개인 영업 실적을 높이기 위한 목적으로 정보를 이용했을 뿐 외부에 대가를 받고 정보를 넘기거나 추가 범죄로 이어진 정황은 현재까지 확인되지 않았다. 다만 내부 시스템에 접근 권한을 가진 직원이 수년간 대규모 개인정보를 유출할 수 있었음에도 이를 조기에 차단하지 못했다는 점에서 관리·감독 체계의 허점이 드러났다는 지적이 나온다.
신한카드는 지난달 개인정보보호위원회로부터 가맹점 대표자 정보 유출 정황이 신고됐다는 연락을 받은 직후 내부 조사에 착수했고 약 3주간 데이터 분석을 거쳐 유출 규모와 기간을 특정했다. 신한카드는 홈페이지를 통해 사과문을 게시하고 가맹점 대표자가 본인의 정보 유출 여부를 확인할 수 있는 별도 페이지를 운영하는 한편 해당 가맹점주들에게 개별 안내를 진행하고 있다. 향후 유출로 인한 피해가 발생할 경우 신속한 보상 조치에 나서겠다는 입장이다.
해외 법인 관리·정보 보호까지 '경고등'…누적된 부실관리, 예견된 인재
이번 개인정보 유출 사태가 더욱 무겁게 받아들여지는 이유는 신한카드의 내부통제 취약성이 이미 여러 차례 지적돼 왔기 때문이다. 금융감독원은 최근 신한카드에 대해 해외 법인 관리와 정보 보호 시스템 전반에서 다수의 문제점을 확인하고, 2건의 경영유의사항과 6건의 개선사항을 통보했다. 특히 해외 법인의 준법감시 체계와 고객 정보 접근 권한 관리가 제대로 작동하지 않았다는 점은 이번 사고가 사실상 예견된 인재라는 지적이 나온다.
금감원에 따르면 신한카드는 일부 해외 법인에서 준법감시부서장 임명 시 본점의 사전 승인 절차를 누락했고 특정 법인에서는 준법감시부서장이 한 달 이상 공석으로 방치됐다. 준법감시인은 내부 규정 준수와 리스크 관리의 핵심 축임에도 불구하고 해당 기능이 사실상 비어 있었던 셈이다. 본점 차원의 관리·감독 역시 미흡해 해외 법인의 경영 실태 평가 결과를 제때 보고받지 않거나 평가 이후의 후속 조치가 제대로 이뤄지지 않은 사례도 드러났다.
고객 정보 보호 측면의 허점도 심각한 것으로 나타났다. 해외법인에서 현지 직원이 퇴사하거나 부서를 이동한 이후에도 고객 정보 시스템 접근 권한이 유지됐다. 이를 변경·말소하는 명확한 내부 규정조차 마련돼 있지 않았다. 제휴업체와 현지 직원의 정보 접근 권한 관리 적정성을 점검해 본점에 보고하는 절차 역시 없었고 신용정보 보호와 관련한 필수 교육도 제대로 시행되지 않은 것으로 나타났다.
해외 사업 확장 과정에서 수익성과 외형 성장에 집중한 나머지 내부통제와 정보 보호라는 기본을 소홀히 한 결과라는 비판이 나온다. 금융사에게 개인정보 보호는 선택이 아닌 생존의 문제지만 국내 본점은 물론 해외 법인까지 내부통제 체계가 허술하게 운영되고 있었던 셈이다.
금융권 안팎에서는 사후 수습보다 중요한 것은 재발 방지를 위한 근본적 처방이라는 목소리가 커지고 있다. 접근 권한 관리, 상시 모니터링, 내부자 통제 강화 없이는 유사 사고가 반복될 수밖에 없다는 것이다.
홍기용 인천대 교수는 "내부 직원의 일탈을 개인 문제로만 치부할 수 없는 이유는 시스템이 이를 걸러내지 못했다는 데 있다"며 "신한카드의 내부통제 체계 전반을 다시 점검해야 할 신호"라고 말했다. 이어 "금융사의 신뢰는 단기간에 쌓을 수 없지만, 무너지는 데는 한 번의 사고면 충분하다는 점에서 근본적인 재발 방지책 마련이 필수다"고 설명했다.
Copyright ⓒ 르데스크 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
