![서울 중구 신한카드 사옥. [사진=이뉴스투데이DB]](https://images-cdn.newspic.kr/detail_image/181/2025/12/25/4248da91-a990-40e3-91e8-4c92179562ac.jpg?area=BODY)
[이뉴스투데이 김진영 기자] 롯데카드에 이어 신한카드에서도 대규모 개인정보 유출 사고가 발생하면서 금융 소비자들의 불안감이 커지고 있다. 카드사들이 수년간 보안 투자와 내부 통제를 강화해 왔지만, 유출 경로가 갈수록 다양해지고 사고 빈도도 높아지면서 금융권 전반의 정보보호 체계에 구조적 허점이 있는 것 아니냐는 우려가 나온다.
24일 금융권에 따르면 신한카드는 내부 임직원의 일탈로 가맹점 대표자 고객 약 19만 건의 개인정보가 유출된 사실을 확인했다고 밝혔다. 유출된 정보는 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 △휴대전화번호·성명·생년월일 73건 등 총 19만2088건이다.
이번 유출은 신규 카드 모집에 활용될 목적으로 이뤄졌으며, 2022년 3월부터 약 3년간 지점 산하 영업소 소속 임직원 12명이 이미지 촬영과 수기 작성 등의 방식으로 개인정보를 반출한 것으로 조사됐다. 해당 사실은 개인정보보호위원회에 접수된 공익 제보를 계기로 드러났다.
신한카드는 “해킹 등 외부 침투로 인한 사고는 아니다”라며 “일부 내부 직원의 일탈로 확인된 만큼 유출된 정보가 추가로 외부에 확산될 가능성은 제한적”이라고 전했다. 현재 해당 임직원들에 대해서는 즉시 업무 배제 조치가 이뤄졌고, 내부 감사 결과에 따라 징계나 법적 조치도 검토 중이다.
그러나 업계 안팎에서는 이런 설명만으로 소비자 우려를 해소하기에는 한계가 있다는 지적이 제기된다. 보안 시스템을 우회하지 않고도 내부 접근 권한을 통해 장기간 대규모 유출이 이뤄졌다는 점에서 기술적 방어를 넘어 내부 통제와 윤리 관리 체계 전반을 점검해야 한다는 목소리다.
지난해 우리카드에서 발생한 개인정보 유출 사고와도 유사하다. 당시 카드모집인이 가맹점 대표자 개인정보 약 7만5000건을 외부로 유출했는데, 신한카드 사고는 유출 규모가 두 배를 웃돈다. 내부 직원, 위탁 모집인, 외부 해커 등 다양한 경로로 개인정보 유출이 반복되면서 카드업계 전반의 신뢰 문제로 확산될 수 있다는 관측도 커지고 있다.
특히 신한카드가 개인정보보호통합인증(ISMS-P)을 획득한 기업이라는 점에서 인증 제도의 실효성 논란도 다시 불거졌다. ISMS-P는 개인정보를 포함한 기업의 정보보호 관리체계를 평가하는 국내 최고 수준의 국가 인증이지만, 이번 사고 역시 허술한 내부 관리가 원인이었던 것으로 드러나면서 ‘형식적 인증’에 그친 것 아니냐는 비판이 나온다.
보안 전문가들은 최근 개인정보 유출 사고의 본질을 기술적 한계가 아닌 관리 실패로 보고 있다. 홍준호 성신여대 융합보안공학과 교수는 “최근 사고들은 해킹보다 내부자 관리 부실에서 비롯되는 경우가 대부분”이라며 “기술적 보호 조치를 갖췄더라도 내부자의 접근 권한과 사용 목적, 반출 여부를 상시로 통제하지 않으면 사고는 반복될 수밖에 없다”고 설명했다.
감독 당국도 사태를 예의주시하고 있다. 개인정보보호위원회는 개인정보보호법 위반 여부를 중심으로 조사를 진행 중이며, 금융감독원 역시 추가적인 개인신용정보 유출 가능성과 내부통제 시스템 전반을 점검하기 위해 현장검사에 착수했다. 회사 자체 점검 결과 신용정보는 포함되지 않은 것으로 파악됐지만, 금감원은 계좌번호 등 개인신용정보의 추가 유출 여부를 자세히 확인할 방침이다.
잇따른 사고를 계기로 정부는 ISMS-P 인증 제도 전면 개선에도 나섰다. 과학기술정보통신부와 개인정보보호위원회는 인증 의무 대상을 확대하고, 사회적 파급력이 큰 기업에 대해 강화된 기준을 적용하는 방안을 추진 중이다. 인증 심사 과정에서 현장 실증과 사후 관리를 강화하고, 사고 발생 시 즉각적인 특별 사후 심사와 인증 취소까지 가능하도록 제도를 손질할 계획이다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
