핵심 요약
신한카드는 가맹점 대표자 휴대전화번호를 포함해 총 192,088건의 개인정보가 내부 직원의 일탈로 유출된 사실을 확인했다고 밝혔다. 유출된 정보는 주로 가맹점 대표자의 휴대전화번호(181,585건)와 일부 이름·생년월일 결합 정보가 포함된다. 조사 결과 주민등록번호·카드번호·계좌번호 등 민감 신용정보는 포함되지 않은 것으로 파악됐다. 회사는 외부 해킹이 아닌 내부 직원의 모집 목적 일탈로 원인 발생을 보고 추가 확산 가능성은 낮다고 설명했다.
핵심 사실
- 유출 규모: 총 192,088건으로, 휴대전화번호 단독 181,585건이 포함되어 있다.
- 결합 정보 내역: 휴대전화번호+성명 8,120건, 휴대전화번호+성명+생년 2,310건, 휴대전화번호+성명+생년월일 73건이 포함되었다.
- 민감정보 미포함: 현재까지 확인된 바에 따르면 주민등록번호, 카드번호, 계좌번호 등 신용정보는 유출되지 않았다.
- 원인: 외부 해킹이 아닌 일부 내부 직원의 신규 카드 모집을 위한 일탈 행위로 파악되었다.
- 발견 경위: 공익 제보자가 개보위(개인정보보호위원회)에 증거를 신고하면서 사건이 드러났다.
- 조사 절차: 개보위는 지난달 12일 자료 제출을 요청했고 신한카드는 이튿날부터 내부 자료 대조 등 사실 확인을 진행했다.
- 회사 대응: 신한카드는 홈페이지에 조사 결과와 사과문을 게시하고, 유출 대상 가맹점 대표자에게 개별 안내와 전용 조회 페이지를 제공했다.
- 유사사례: 국내에서는 SK텔레콤(9.82GB 유출), 쿠팡(퇴직 전 직원 관련 유출), 롯데카드(온라인 결제 일부 정보 유출) 등 연쇄적인 개인정보 사고가 이어지고 있다.
사건 배경
결제·금융 플랫폼에서 가맹점 관리용 연락처 등 기본 정보는 영업·마케팅 목적으로 광범위하게 활용된다. 카드사 내부 시스템에는 가맹점 관리와 신규 영업을 위한 데이터가 존재하며, 해당 정보에 대한 접근 권한은 영업 담당자나 내부 운영자에게 부여되는 경우가 많다. 이 때문에 내부자의 권한 남용 가능성이 상존하며, 최근 국내에서 대형 개인정보 유출 사례가 잇따르면서 내부 통제의 취약성이 주요 이슈로 부각되고 있다.
개인정보보호위원회와 금융당국은 금융회사 내부 정보 접근·활동 로그 관리와 내부자 부정사용 탐지 체계를 강화하는 정책을 추진해 왔다. 그러나 실제 운영 현장에서는 권한 분리·접근 통제·감사 추적(로그) 체계가 담당 부서별로 편차를 보이는 경우가 있어 리스크가 잔존한다. 이번 사고는 내부 통제와 윤리 준수, 신고체계의 작동 여부를 동시에 점검하게 만드는 계기가 되었다.
주요 사건 전개
사고는 외부 해킹으로 판단되지 않았고, 공익 제보자의 신고로 촉발됐다. 제보자는 가맹점 대표자의 개인정보가 외부로 유출되었다는 증거를 개보위에 제출했고, 개보위는 지난달 12일 관련 자료 제출을 신한카드에 공식 요청했다. 신한카드는 다음 날부터 제보 자료와 내부 로그·자료를 대조하며 사실관계 확인에 착수했다.
신한카드의 조사 결과, 유출된 데이터는 주로 신규 카드 모집과 관련한 내부 영업 활동 과정에서 특정 직원이 외부로 유출한 것으로 결론지어졌다. 회사는 유출 정보가 가맹점 대표자의 휴대전화번호 중심이며, 민감한 신용정보는 포함되지 않았다고 공개했다. 내부 조치로는 대상자 개별 통지, 전용 조회 페이지 개설, 추가 확산 여부에 대한 모니터링 강화가 포함됐다.
한편 회사는 유출된 정보의 추가 유통 가능성은 낮다고 설명했지만, 개별 가맹점들은 통화·문자 사기 등 2차 피해 가능성에 대해 우려를 표하고 있다. 신한카드는 피해 예방 안내와 함께 이상 거래 감시·상담 창구 운영을 약속했다.
분석 및 의미
첫째, 이번 사건은 내부자 리스크가 외부 해킹보다 현실적이고 즉각적인 위협이 될 수 있음을 보여준다. 권한을 가진 직원이 영업 목표 등 단기적 동기에서 개인정보를 부적절하게 사용하면 조직 전체의 신뢰가 손상된다. 따라서 접근 권한 관리와 내부 감시 시스템, 직원 윤리교육 강화가 시급하다.
둘째, 유출된 정보의 유형이 휴대전화번호 중심이라는 점에서 직접적인 금융 피해(계좌이체·카드결제 등)로 이어질 가능성은 상대적으로 낮을 수 있다. 다만 전화·문자 기반의 사회공학적 사기(피싱·스미싱)로 연결될 위험은 상존한다. 특히 이름·생년월일이 결합된 소수 데이터는 추가 악용 가능성을 높인다.
셋째, 이번 사고는 규제·감독 차원에서 내부 통제 검증의 필요성을 재확인시킨다. 개보위의 조사 요청 및 회사의 자발적 공지는 제도적 대응 흐름을 보여준다. 향후 금융당국과 개인정보보호당국은 카드사·핀테크 업계 전반에 대해 내부자 접근 권한 관리·로그 보존 기간·비정상 사용 탐지 기준 등을 재점검할 것으로 전망된다.
비교 및 데이터
| 사건 | 특징/규모 | 원인(신고·조사 결과) |
|---|---|---|
| 신한카드 | 192,088건(휴대전화 중심) | 내부 직원의 모집 목적 일탈 |
| SK텔레콤 | 9.82GB 규모 개인정보 유출 | 외부 해킹(서버 탈취) |
| 쿠팡 | 퇴직 전 직원 관련 고객정보 유출(규모 미공개) | 내부자 행위 |
| 롯데카드 | 온라인 결제 회원 일부 결제 관련 정보 유출 | 외부 침입 |
위 표는 최근 국내 주요 개인정보 사고의 유형과 원인을 비교한 것이다. 외부 침입과 내부자 유출이 모두 발생하고 있으며, 규모·영향·유형에서 차이를 보인다. 조직별로 필요한 대응 방향(네트워크 보안 강화 vs. 내부 통제·감사 향상)이 다르게 요구된다.
반응 및 인용
신한카드는 홈페이지 공지를 통해 사과하고 조사 결과를 공개했다. 회사는 이번 사건의 원인이 내부 직원의 일탈이라고 설명하며 추가 확산 가능성은 낮다고 밝혔다.
“외부 침해가 아닌 내부의 일탈 행위로 확인됐다.”
신한카드(회사 공식 공지)
개인정보보호위원회는 제보 접수 후 자료 제출을 요청하고 사실관계 확인을 진행했다. 개보위의 개입은 사건의 공식 조사·감시 기능을 촉발했다.
“제보를 접수해 관련 자료 제출을 요청했다.”
개인정보보호위원회(공식 발표)
불확실한 부분
- 유출된 정보가 실제로 제3자에게 판매되었는지 여부는 확인되지 않았다.
- 내부 직원의 구체적 동기와 유출 경로의 세부 기술적 과정 일부는 공개되지 않았다.
- 유출 데이터가 사기·피싱 등에 실제로 악용된 사례의 발생 여부는 추가 조사 중이다.
총평
이번 사고는 규모 면에서 민감한 금융정보 유출과는 차이를 보이지만, 내부자 리스크의 현실성과 파급력을 환기시켰다. 휴대전화번호 중심의 유출이라도 2차 사기·피싱 위험을 높일 수 있어 가맹점·고객의 주의가 필요하다. 신한카드의 신속한 공지·개별 통보는 긍정적이나, 내부 통제 보완과 재발방지 조치의 구체성 제시가 다음 과제로 남는다.
정부와 업계는 내부 권한 관리를 강화하고, 정기적인 내부 감사·비정상 행위 탐지 체계를 표준화할 필요가 있다. 이용자 측면에서는 본인 정보 포함 여부 조회와 의심되는 연락에 대한 경계, 금융사에 대한 이상거래 모니터링 요청을 권장한다.