[아하!] 신한카드 내부자 개인정보 유출…과징금은?

[프라임경제] 국내 카드업계 1위 신한카드가 내부 직원에 의한 대규모 개인정보 유출 사고로 최대 1000억원대 과징금과 피해 보상 부담에 직면했습니다. 사고 발생 시점이 2022년으로 거슬러 올라가면서, 신한카드가 과징금과 손해배상금을 실제로 감당할 수 있는 재무적 여력이 있는지에도 관심이 쏠리고 있습니다.

최근 롯데카드와 우리카드에 이어 주요 카드사에서 개인정보 유출 사고가 반복적으로 발생하면서, 카드업계 전반의 보안 시스템과 내부통제 체계가 근본적으로 흔들리고 있다는 지적이 나오고 있습니다.

신한카드의 이번 사고는 외부 해킹이 아닌 내부 직원이 가맹점 대표자의 개인정보를 무단으로 활용하면서 발생했습니다. 유출 규모는 약 20만건으로 추정됩니다. 해당 직원은 영업 실적 제고를 위해 신규 카드 모집 과정에서 가맹점주 개인정보를 사용한 것으로 조사됐습니다.

현재까지 외부에 정보를 판매하거나 추가로 확산된 정황은 확인되지 않았다는 것이 신한카드 측 입장입니다. 다만 사고 자체가 장기간 은폐된 채 방치됐다는 점에서 파장은 작지 않습니다.

유출 경위를 살펴보면 카드업계의 과열된 영업 실적 경쟁이 사고의 배경으로 지목됩니다. 영업 압박 속에서 개인정보 활용에 대한 경계심이 무뎌졌고, 유사한 방식의 정보 활용이 수년 전부터 관행처럼 이어져 왔다는 것이 업계 안팎의 전언입니다.

이찬진 금융감독원장은 지난 1일 기자간담회에서 "금융회사 보안이 뚫리면 회사가 망할 수도 있다는 인식이 없다"며 "시스템 안전성이 무너지면 누가 돈을 맡기겠느냐, 금융회사들이 보안 문제에 지나치게 둔감하다"고 강하게 질책했습니다.

ⓒ 신한카드

현행 개인정보보호법 제62조 제2항에 따르면 개인정보 유출 시 전체 매출액의 3% 이내에서 과징금이 부과될 수 있습니다. 우리카드는 지난해 가맹점 대표자 개인정보 약 7만5000건 유출 사고로 개인정보보호위원회로부터 134억5100만원의 과징금을 부과받았습니다.

외부 공격으로 발생한 롯데카드 사고의 경우, 전체 297만명 중 약 28만명의 정보가 중대하게 유출된 것으로 파악됐으며, 과징금 규모는 270억~800억원에 이를 것으로 업계는 추산하고 있습니다.

내부 직원에 의한 유출로 사고 성격이 더 중하다는 평가를 받는 신한카드 역시 업계에서는 1000억원대 과징금이 부과될 가능성을 거론하고 있습니다. 신한카드의 지난해 영업수익은 6조1731억원으로 카드업계 1위 규모지만, 과징금과 손해배상금이 동시에 현실화될 경우 단기 재무 부담은 불가피하다는 평가가 나옵니다.

일각에서는 신한카드의 개인정보유출 배상보험 가입 여부와 보장 범위에 따라 재무적 충격은 달라질 수 있다는 분석도 나옵니다. 다만 대부분의 기업이 법정 최소 금액(10억원)으로만 보험 가입을 해온 것으로 나타나면서 신한카드도 추정 과징금 1000억여원 전체를 보장받지 못할 것으로 전망됩니다. 

한 손해보험업계 관계자는 "사고 규모 대비 10억원으로는 사실상 보상이 거의 불가능한 수준이라, 보험 접수 여부 자체가 큰 의미가 없을 수 있다"고 말했습니다.

잇따른 개인정보 유출 사고에 정부도 제도 강화를 예고했습니다. 김민석 국무총리는 지난 24일 "징벌적 과징금 도입 등 시급한 입법 과제가 조속히 통과될 수 있도록 신속히 추진하겠다"며 "반복적이고 중대한 위반에 대해서는 전체 매출의 10%까지도 징벌적 과징금을 부과하고, 개인정보 유출 통지 의무를 강화하겠다"고 밝혔습니다. 또 손해배상 청구 등 피해자 권리를 보다 적극적으로 알리도록 제도를 보완하겠다는 방침도 함께 제시됐습니다.

반면 업계에서는 천문학적인 수준의 징벌적 과징금이 카드사 경영 전반으로 리스크를 확산시킬 수 있다는 우려가 나옵니다. 한 업계 관계자는 "내부통제 리스크는 시간이 지나 결국 숫자로 돌아온다"며 "제재가 확정되는 시점에 따라 카드사 실적과 재무구조를 좌우하는 변수가 될 수 있다"고 말했습니다.

연쇄적으로 드러난 카드사 개인정보 유출 사고는 단순한 개별 회사의 일탈을 넘어, 금융업권 전반의 실적 중심 문화와 허술한 내부통제 체계에 대한 근본적인 재점검을 요구하고 있습니다.