해킹 아닌 내부자 유출 … 신한카드 개인정보 사고, 모럴헤저드·내부통제 시험대

국내 카드업계 점유율 1위 신한카드에서 내부 직원의 일탈로 가맹점 대표자 19만여 명의 개인정보가 약 3년간 외부로 유출된 사실이 확인됐다. 회사가 장기간 이를 인지하지 못한 채 방치한 가운데 금융당국은 현장검사에 착수했다.

이번 신한카드 개인정보 유출은 롯데카드나 업비트 사례처럼 외부 해킹에 따른 사고와는 성격이 다르다. 해킹의 경우 금융사 역시 피해자라는 해석이 가능하지만, 이번 사고는 내부 직원의 고의적 행위로 발생한 만큼 모럴헤저드와 내부 통제 실패라는 책임을 피하기 어렵다. 여기에 지난해 10월 신한투자증권에서 발생한 1300억원대 손실 사고까지 겹치면서, 신한금융 계열사 전반의 내부통제와 리스크 관리 체계에 대한 문제 제기가 다시 고개를 들고 있다.

신한카드는 지난 23일 자영업·소상공인 등 카드 가맹점 대표자의 휴대전화 번호를 포함해 19만여건의 개인정보 유출이 추정돼 개인정보보호위원회에 신고했다고 밝혔다.

유출된 정보는 2022년 3월부터 2025년 5월까지 신규 가맹점 대표자의 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 △휴대전화번호·성명·생년월일 73건 등 총 19만2088건이다.

이번 사고는 해킹 등 외부 침입이 아닌 내부 직원 소행으로 드러났다. 신규 가맹점 영업을 목적으로 내부 정보를 조회·유출하는 과정에서 발생했으며, 최소 5개 영업소 소속 직원 12명이 연루된 것으로 조사됐다.

이들은 약 3년간 카드 모집 실적을 높이기 위해 가맹점 대표자의 이름, 연락처, 생년월일 등을 외부 모집인에게 전달한 것으로 파악됐다. 일부 직원은 단말기 화면을 휴대전화로 촬영해 외부로 전송한 정황도 확인됐다.

문제는 개인정보 유출 행위가 약 3년간 이어졌음에도 회사 차원의 사전 인지나 내부 차단 장치가 전혀 작동하지 않았다는 점이다. 이번 사안은 신한카드가 자체 점검을 통해 적발한 것이 아니라 외부 신고를 통해 개인정보보호위원회가 유출 정황을 포착한 뒤 이를 통보하면서 시작됐다. 이후 신한카드는 관련 사실을 확인하기 위한 내부 조사에 착수했다.

신한금융 계열사에서는 지난해에도 이와 같은 내부 일탈 사고가 한 차례 불거진 바 있다. 

지난해 10월 신한투자증권에서는 ETF 유동성공급자(LP) 운용 과정에서 목적을 벗어난 선물 매매가 이뤄지며 약 1300억원 규모의 손실이 발생했다. 당시 회사 측은 담당 운용역 개인의 일탈 행위라는 입장을 밝혔지만, 손실 발생 이후 약 두 달간 내부 통제 시스템이 제대로 작동하지 않았고, 거래를 스왑 거래로 허위 등록해 손실을 은폐한 정황이 드러나며 내부 관리 실패 논란이 제기됐다.

해당 사고 이후 금융감독원은 단순한 개인 일탈로 보기 어렵다고 판단하고, 단기 실적 중심의 성과보수 체계와 관리회계 검증 미이행 등 내부통제 전반의 문제를 지적하며 신한투자증권에 기관경고 제재를 통보했다. 내부 직원의 일탈이라도 결과적으로는 회사 차원의 관리·감시 체계가 제대로 작동하지 않았다는 점이 핵심 쟁점이 됐다.

이 같은 전례를 감안하면 이번 신한카드 개인정보 유출 사태를 계기로 신한금융그룹 계열 전반의 내부통제 문화와 리스크 관리 체계를 다시 점검해야 한다는 지적이 금융권 안팎에서 다시 고개를 들고 있다. 서로 다른 계열사에서 발생한 사고지만, 내부 직원의 일탈로 시작해 회사 차원의 관리 실패로 귀결됐다는 점에서 구조적으로 닮았다는 평가다.

이런 가운데 금융당국은 즉각 대응에 나섰다. 금융위원회는 지난 24일 신진창 사무처장 주재로 긴급 대책회의를 열고 유출 경위와 피해 범위, 개인신용정보 추가 유출 가능성 등을 점검했다. 정보 유출에 따른 피해 확산 방지와 재발 방지 방안도 논의했다.

금융감독원은 추가 신용정보 유출 여부를 확인하기 위해 즉시 현장검사에 착수했다. 개인신용정보 추가 유출 여부를 면밀히 조사하고, 계좌번호 등 민감 정보 유출이 확인될 경우 신용정보법 등 관련 법령에 따른 조치를 신속히 취한다는 방침이다.