카드업계 또 정보유출...“내부통제 프로세스 개선해야” [이슈+]

▲신한카드.

SK텔레콤·KT·쿠팡에서 발생한 개인정보 유출의 상처가 아물기도 전에 카드업계에 또다시 정보유출 사고가 발생했다. 이번에는 외부의 공격 또는 퇴사자가 원인이었던 이전 사례와 달리 카드사 직원의 일탈로 벌어진 사태인 만큼 내부통제의 중요성이 부각되고 있다. 기업·업계 자체적인 노력 뿐 아니라 외부의 가이드라인도 강화돼야 한다는 지적이다.

28일 금융권에 따르면 신한카드는 앞서 개인정보보호위원회(개보위)에 19만건에 달하는 가맹점 대표의 정보가 유출됐다고 신고했다.

구체적으로는 휴대전화번호 18만1585건, 휴대전화번호+성명 8120건, 휴대전화번호+성명+생년+성별 2310건, 휴대전화번호+성명+생년월일 73건 등 총 19만2088건이다.

금융위원회가 신한카드 정보유출 사고 관련 긴급 대책회의를 여는 등 금융·경찰당국 차원의 움직임도 일어나고 있다. 경찰청 국가수사본부 사이버테러대응과는 지난 23일 경기북부경찰청 사이버수사과에 내사를 지시했다.

금융감독원은 추가 정보 유출 가능성과 정보보호 관련 내부통제 시스템 조사를 목적으로 현장검사를 단행하기로 했다. 신한카드는 주민등록번호·카드번호·계좌번호 등 개인 및 신용정보가 유출되지 않았다고 파악했으나, 피해 범위가 예상을 벗어나면 적용되는 법령과 과징금 범위가 달라질 수 있다.

신한카드 임직원 12명은 2022년 3월부터 올 5월까지 신규 회원 등록 등 영업실적 증대를 목적으로 일을 벌인 것으로 전해졌다. 전산을 활용한 대규모 데이터 유출이 불가능했던 탓에 카메라 촬영과 수기 작성을 비롯한 방법으로 소량의 정보를 꾸준히 유출했던 것으로 추정된다.

가맹점 대표가 개보위에 신고하고, 조사 착수 전 사전 자료 요청이 있기까지 유출 사실을 알지 못했던 이유로 보인다. 현재는 업무에서 배제된 상태로, 추가 조사 및 이에 따른 징계가 이뤄질 전망이다.

카드사의 내부정보가 새어나간 것은 이번이 처음이 아니다. 개보위는 올 3월 우리카드에게 가맹점 정보 유출을 이유로 과징금 135억원을 부과한 바 있다.

경기침체 장기화 등으로 경쟁이 치열해지면서 직원들이 압박을 받고 있는 것은 맞으나, 이를 바로잡지 않으면 금융업의 근간인 신뢰가 더욱 깨질 수 있다는 우려가 나오는 까닭이다.

전문가들은 다각적인 해법을 제시하고 있다. 서지용 한국신용카드학회장(상명대 교수)은 최소 권한 원칙 미준수와 접근 로그 실시간 모니터링 부재를 이같은 사고의 원인으로 해석했다. 서 회장은 정기감사·암호화 의무화 및 징벌적 손해배상 확대 등 재발방지를 위한 금융당국의 역할을 촉구했다. 기업 차원에서는 내부통제 프로세스를 재점검하고 정보보호 관련 교육을 강화해야 한다고 제언했다.

염흥열 순천향대 정보보호학과 명예교수는 “내부직원에 의한 정보 유출을 막기 위해 최소 권한을 부여하고, 취급자에 대한 철저한 접근 통제 등의 조치가 필요하다"고 강조했다.

이번 사고가 내부 취급자의 일탈이었다는 점을 들어 임직원에 대한 교육 및 취급자에 의한 개인정보 외부 유출 차단의 중요성도 언급했다.

신한카드는 재발방지를 위해 최선을 다하고, 이를 위해 시스템과 제도 보완을 진행한다는 방침을 표명했다. 임직원 정보보호 경각심과 인식을 제고하고 관련 교육을 확대하겠다는 것이다. 관련 사고에 대해 무관용 원칙을 적용하겠다는 계획도 밝혔다.

특히 △접근권한 최소화 △개인정보 관련 조회 프로세스 강화 △탐지 모니터링 체계 강화 등을 추진할 예정으로, 이번 사고에 쓰였던 수단들을 추적관리 가능한 시스템을 도입했다고 설명했다.

신한카드는 유출된 정보가 가맹점 정보로서 개인정보와는 무관하고, 다른 곳으로 추가 확산될 염려가 없다는 입장이다. 또한 가맹점 대표들에게 이번 사고를 알리고 정보유출 여부를 확인 가능한 페이지를 운영 중으로, 피해발생시 적극적으로 보상한다는 계획이다.

나광호 기자 spero1225@ekn.kr