신한카드에서 내부 직원이 3년 넘게 가맹점 대표의 개인정보를 빼돌린 사실이 드러나 금융당국이 현장검사와 전 업권 점검에 나섰다. 유출 규모가 19만 건에 달하고 3년간 미인지된 내부통제 허점으로 제재 수위가 높아질 전망이다.
25일 금융권에 따르면 신한카드는 2022년 3월부터 올해 5월까지 일부 영업점 직원이 카드 모집 실적을 위해 가맹점 대표의 휴대전화번호·성명·생년월일 등을 외부 설계사에 넘긴 것으로 조사됐다. 총 유출 건수는 19만2088건으로 파악됐다.
유출은 직원이 사내 시스템 화면을 촬영하거나 수기로 기록해 설계사에게 넘기는 방식으로 이뤄졌다. 마케팅 동의 없는 정보까지 포함됐으나, 회사는 주민등록번호나 카드·계좌번호 등 신용정보는 유출되지 않았다고 설명했다.
신한카드는 공익 제보로 사태를 인지한 뒤 개인정보보호위원회 자료 제출 요청에 따라 조사를 시작했다. 홈페이지 사과문 게시, 개별 안내, 조회 페이지 마련 등에 들어갔다. 피해가 발생하면 적극 보상하겠다고 밝혔다.
금융당국은 전날 신진창 금융위원회 사무처장 주재 긴급 대책회의를 열고 이 상황을 논의했다. 금융감독원은 추가 신용정보 유출 여부를 확인하기 위해 즉시 현장검사에 착수했다. 특히 금감원은 카드 모집 과정에서 유사한 개인정보 유출 사례가 있는지를 전 카드업권으로 확대 점검하기로 했다. 필요할 경우 검사로 전환해 업계 전반의 내부통제 실태를 들여다본다는 방침이다.
이번 사태 핵심은 내부통제 미비로, 3년간 유출을 감지하지 못한 점에서 비판이 거세다.
제재 수위에도 주목된다. 현행 개인정보보호법에 따르면 개인정보 유출이 확인될 경우 전체 매출액의 3% 이내에서 과징금 부과가 가능하다. 신한카드의 지난해 영업수익은 6조1731억원으로 법정 상한 기준 과징금 규모는 1000억원을 웃돌 수 있다.
지난해 우리카드는 7만5000건의 가맹점 대표자 개인정보가 카드모집인을 통해 유출된 사건이 발생했고 134억원의 과징금이 부과된 만큼 신한카드 제재는 매출 규모를 고려해 더 클 수 있다. 우리카드는 금감원 검사가 진행 중이라 추가 제재 가능성이 남아 있는 상황이다.
신한카드는 회사 영업점 출력물 추적 시스템 도입, 접근권한 축소, 실시간 모니터링 강화로 재발 방지에 나섰다. 당국은 2차 피해 예방을 위해 신한카드의 보호 조치를 철저히 감독할 방침이다.
금융당국은 “카드업권 뿐만 아니라 전 금융업권의 내부 정보보호 시스템을 철저히 점검하고, 내부통제 미비점이 발견될 경우, 엄중한 책임을 물을 계획”이라고 말했다.
이주희 기자 jh224@segye.com
