[서울=뉴스핌] 이윤애 기자 = 신한카드에서 가맹점 대표자의 개인정보 약 19만건이 유출된 사실이 확인되면서 지난해 우리카드가 개인정보 무단 활용으로 과징금 134억원을 부과받았던 사례가 다시 주목받고 있다.

두 사건 모두 제3자의 불법적인 외부 침투가 아닌 내부에서 발생했으며, 결제 정보 유출 없이 가맹점 대표자의 개인정보만 활용·유출됐다는 공통점을 갖고 있다.

23일 금융권에 따르면 신한카드는 내부 조사를 통해 가맹점 대표자의 휴대전화번호 등을 포함한 정보가 유출된 사실을 확인하고 개인정보보호위원회에 신고했다.

유출된 정보는 휴대전화번호 단독이 대부분으로, 이름이나 생년월일이 함께 포함된 사례는 제한적인 것으로 알려졌다. 구체적으로는 ▲휴대전화번호 18만1585건 ▲휴대전화번호와 성명 8120건 ▲휴대전화번호·성명·생년·성별 2310건 ▲휴대전화번호·성명·생년월일 73건이다.

이번 사안은 해킹 등 외부 침투에 따른 사고가 아니라 신한카드 직원이 신규 가맹점을 대상으로 카드 영업을 진행하는 과정에서 내부 정보를 탈취·활용하면서 발생한 것으로 전해졌다. 신한카드는 지난달 개인정보위로부터 관련 신고가 접수됐다는 통보를 받은 뒤 사실관계 확인에 착수했다.

약 3주간의 데이터 분석 결과, 2022년 3월부터 올해 5월까지 내부 직원에 의해 가맹점의 사업자등록번호, 상호명, 가맹점주 전화번호 등 약 20만건의 가맹점 정보가 외부로 유출된 것으로 파악됐다. 해당 직원은 유출된 정보를 자신의 카드 영업 실적을 높이는 데 활용했을 뿐 외부에 금전적 대가를 받고 넘기는 등 2차 범행 정황은 현재까지 확인되지 않았다고 신한카드 측은 설명했다.

◆ '해킹 아닌 내부자'…우리카드 사례와 닮은 구조

이 같은 구조는 지난해 우리카드의 개인정보 무단 활용 사례와 상당 부분 닮아 있다는 평가가 나온다. 우리카드 인천영업센터는 신규 카드 발급 모집을 위해 2022년 7월부터 2023년 4월까지 카드 가맹점의 사업자등록번호를 자사 내부 시스템에 입력해 최소 13만여명의 가맹점주 개인정보를 조회했다. 이 과정에서 가맹점 대표의 이름과 주민등록번호, 연락처, 주소 등이 포함된 개인정보가 카드 모집인에게 전달됐다.

개인정보위는 이를 동의 없는 개인정보 수집·마케팅 활용으로 판단해 올해 초 우리카드에 시정명령과 함께 134억5000만원의 과징금을 부과했다. 이는 지난해 우리카드 당기순이익의 11% 수준으로 이례적으로 거액의 과징금을 부과했다는 평가를 받았다.

당시 개인정보위는 우리카드가 영업센터에 DB 접근 권한과 파일 다운로드 권한, 주민등록번호 열람 권한까지 위임하는 등 내부 통제를 소홀히 한 점을 중대하게 봤다.

◆ 과징금 판단의 핵심은 '회사 책임' 인정 여부

개인정보위가 과징금을 부과하기 위해서는 이름, 주민등록번호, 생년월일 등 순수 개인정보가 다른 정보와 결합해 신용정보화되지 않은 상태로 유출되거나 활용돼야 하며, 과징금은 매출의 3% 이내에서 산정된다.

우리카드 사례는 회사 차원에서 가맹점주 개인정보를 조직적으로 활용한 점이 명확히 인정된 반면, 신한카드는 현재까지 일부 직원의 일탈이라는 입장을 유지하고 있다.

다만 수년에 걸친 행위가 내부에서 걸러지지 않았다는 점에서, 내부통제 체계가 제대로 작동하지 않았다는 지적도 나온다.

업계에서는 개인정보위가 내부 통제 미흡이나 관리·감독 책임을 어디까지 인정할지에 따라 신한카드에 대한 제재 수위가 달라질 것으로 보고 있다.

신한카드는 홈페이지를 통해 정보 유출 사실과 사과문을 게시하고, 가맹점 대표자가 본인의 정보 유출 여부를 확인할 수 있도록 조치할 계획이다. 아울러 정보가 유출된 가맹점에 대해서는 개별 안내도 병행한다는 방침이다.

신한카드 관계자는 "이번 일로 심려를 끼쳐드린 점에 대해 깊이 사과드린다"고 말했다.

이어 "이번 사고가 '목적 외 개인정보 이용'에 해당하는지, 단순 '정보 유출'로 봐야 하는지는 추가 조사가 필요하다"며 "향후 고객 피해가 발생할 경우 신속하게 보상 등 필요한 조치를 취하겠다"고 말했다.

yunyun@newspim.com