신한카드 가맹점 개인정보 유출 사건 경위와 구조적 문제, 그리고 우리가 반드시 해야 할 대응

 

 

최근 불거진 신한카드 가맹점 개인정보 유출 사건은 단순한 보안 사고를 넘어, 국내 대형 기업들이 여전히 개인정보를 얼마나 안일하게 다루고 있는지를 적나라하게 보여주는 사례라고 생각합니다. 특히 이번 사건은 외부 해커의 침입이 아닌 내부 직원 다수가 연루된 유출이라는 점에서, 그 심각성이 더욱 큽니다.

이미 과거 SK텔레콤, 쿠팡 등 국내 대표 기업들에서 반복적으로 개인정보 사고가 발생해 왔고,  그전에는 롯데카드 이슈까지 있었습니다. 그럼에도 불구하고 이번에는 금융기업인 신한카드에서 또다시 대규모 개인정보 유출이 발생했다는 점은, 업계 전반의 보안 인식 자체가 근본적으로 잘못되어 있음을 의미합니다.

 

 

신한카드 가맹점 개인정보 유출, 사건은 어떻게 드러났나

이번 신한카드 개인정보 유출 사건은 우연히 발견된 것이 아니라, 공익 제보자의 신고로 세상에 알려졌습니다. 신한카드는 가맹점 대표자 개인정보 약 19만 2천여 건이 유출된 것으로 추정해 개인정보보호위원회에 공식 신고했고, 이 사실이 공개되면서 경찰 수사까지 이어지게 되었습니다.

경찰청 국가수사본부 사이버테러대응과는 해당 사안을 심각하게 판단해 경기북부경찰청에 내사를 지시했고, 현재 사건은 사이버수사과에 배정되어 조사 중입니다. 유출 기간은 무려 2022년 3월부터 2024년 5월까지, 약 2년 이상 장기간에 걸쳐 이루어진 것으로 파악되고 있습니다.

유출된 정보는 가맹점 대표자의 휴대전화번호를 중심으로, 일부는 성명, 생년, 성별, 생년월일까지 포함된 것으로 확인됐습니다. 다행히 주민등록번호나 카드번호, 계좌번호 같은 직접적인 금융 신용정보는 포함되지 않았다고 신한카드는 밝혔습니다. 아울러 일반 카드 고객의 정보는 유출되지 않았고, 가맹점 대표자 정보에 한정된 사건이라는 점도 함께 밝혔습니다.

 

 

내부 직원이 개인정보를 빼냈다는 점이 더 심각한 이유

사건에서 가장 충격적인 부분은 외부 해킹이 아니라 내부 직원의 조직적인 행위였다는 점입니다. 신한카드 측 설명에 따르면, 일부 직원들이 신규 카드 모집 실적을 올리기 위해 개인정보가 표시된 내부 시스템 화면을 카메라로 촬영한 뒤, 이를 설계사에게 전달하는 방식으로 정보를 유출한 것으로 알려졌습니다.

현재까지 최소 5개 영업소 소속 직원 12명이 연루된 것으로 파악됐으며, 신한카드는 해당 직원들을 즉시 업무에서 배제하고 형사 고발 등 추가 조치를 검토 중이라고 밝혔습니다. 문제는 이러한 행위가 단순한 내부 규정 위반이 아니라, 개인정보보호법 위반 소지가 매우 크다는 점입니다.

마케팅 목적이라 하더라도 개인정보 활용에 대한 명확한 동의가 없었다면 불법이며, 설령 동의가 있었다 하더라도 보안 조치 없이 정보를 외부로 전달했다면 법적 책임을 피하기 어렵습니다. 결국 이는 개인의 일탈을 넘어, 내부 통제와 관리 시스템이 제대로 작동하지 않았다는 구조적 문제로 봐야 합니다.

 

 

 

 

"현재 피해는 없다"는 말이 안심이 되지 않는 이유

신한카드는 현재까지 유출된 정보로 인한 직접적인 피해 사례는 확인되지 않았다고 밝히며, 해킹이 아닌 내부 유출이기 때문에 정보가 외부로 추가 확산될 가능성도 낮다고 설명하고 있습니다. 또한 피해가 발생할 경우 적극적으로 보상하겠다는 입장도 함께 내놓았습니다.

하지만 개인적으로는 이러한 설명이 결코 안심할 수 있는 근거가 되지는 않는다고 생각합니다. 개인정보는 한 번 유출되면 회수가  불가능하고, 지금 당장 피해가 없다고 해서 향후 2차 피해가 발생하지 않는다는 보장은 어디에도 없기 때문입니다. 특히 휴대전화번호와 이름, 생년 정보는 보이스피싱이나 스미싱, 맞춤형 사기 범죄에 매우 활용도가 높은 데이터입니다.

 

 

반복되는 대기업 개인정보 유출, 무엇이 문제인가?

롯데카드, SKT, 쿠팡 그리고 이번 신한카드까지 이어지는 흐름을 보면, 국내 대형 기업들은 여전히 개인정보를 보호해야 할 핵심 자산이 아닌 관리 대상 정도로만 인식하고 있는 듯합니다. 사고가 터지면 사과문과 재발 방지 대책을 내놓지만, 시간이 지나면 비슷한 사건이 다시 발생합니다.

특히 금융기업은 일반 기업보다 훨씬 강력한 보안 체계와 내부 통제가 요구됨에도 불구하고, 실적 압박과 느슨한 관리 문화가 개인정보 유출이라는 최악의 결과로 이어지고 있습니다. 이로 인한 불안과 불편, 그리고 잠재적 피해는 고스란히 소비자의 몫이 됩니다.

 

 

당장 개인이 반드시 해야 할 최소한의 대응

이번 신한카드 가맹점 개인정보 유출 이슈를 접했다면, 가장 먼저 해야 할 일은 비밀번호를 즉시 변경하는 것입니다. 기존에 사용하던 단순한 비밀번호나 다른 서비스와 동일한 비밀번호를 그대로 유지하는 것은 매우 위험합니다. 영문 대소문자, 숫자, 특수문자를 조합한 해킹이 어려운 비밀번호로 빠르게 교체하는 것이 기본적인 방어입니다.

또한 현재 사용하지 않거나 앞으로 사용할 계획이 없는 카드가 있다면, 이번 기회에 과감하게 탈퇴하는 것도 현실적인 대응 방법입니다. 불필요하게 유지되는 카드 정보는 언제든지 또 다른 사고의 대상이 될 수 있습니다. 카드 해지 후에도 개인정보 보관 및 마케팅 동의 상태를 한 번 더 점검하는 것이 좋습니다.

 

 

 

 

신한카드 개인정보 유출이 남긴 경고

이번 신한카드 가맹점 개인정보 유출 사건은 우리 회사는 안전하다는 대형 기업들의 인식이 얼마나 위험한 착각인지를 다시 한 번 보여줍니다. 개인정보 유출은 더 이상 예외적인 사고가 아니라, 언제든 발생할 수 있는 일상이 되어가고 있습니다.

기업은 물론이고, 개인 역시 스스로를 지키기 위한 보안 습관을 갖지 않으면 안 되는 시대입니다. 지금 당장은 피해가 없더라도, 이번 사건을 계기로 내 정보가 어디에, 어떤 방식으로 관리되고 있는지 한 번쯤은 진지하게 돌아봐야 할 시점이라고 생각합니다.

 

필요에 의해 가입할수 밖에 없는 금융,보험, 쇼핑 등의 사이트 가입에서 마케팅 정보동의는 최소화하고 기업은 마케팅을 위해 과도한 개인정보를 요구하지 않고, 특히 "마케팅 활용에 동의하지 않을 경우 발생하는 불이익은 본인책입입니다"라는 기업을 위한 멘트를 과감하게 삭제하는 결단을 보여주고 관련 법령 또한 과도한 정보를 요구하는 것을 막는쪽으로 입법되어야 할 것으로 보입니다.

또한, "계열사에 제공되는 정보 또한 제한 및 제어되어야한다"는 내용이 포함하면 좋겠습니다.

 

엎질러진 물을 컵에 다시 담을수 없듯 개인정보 또한 한번 유출되면 다시는 유출 전으로 되돌릴 수 없습니다. 개인정보보호에 최선을 다하시기 바랍니다.

 

 

함께 읽으면 좋은 글

1. 쿠팡 해킹 또 털렸습니다. 어떻게 해야할까요?