신한카드, 19만2000명 가맹점 대표 휴대전화번호 등 유출돼

내부 직원 소행, 카드모집 영업 활용...해킹 등 외부 침투 아냐
3년 2개월간 자료...유출 사실 인지 즉시 차단 및 내부 프로세스 점검

신한카드가 영업 담당 내부 직원에 의해 가맹점주 19만여명의  개인정보가 유출됐다. 자료=신한카드 홈페이지

신한카드는 가맹점 대표자 19만 2000여명의 휴대전화번호가 외부로 유출된 사실을 확인하고 개인정보보호위원회에 신고했다. 이번 사고는 지난달 12일에 발생했으며, 공익 제보를 통해 유출 사실을 인지한 것으로 알려졌다.

23일 신한카드는 홈페이지에 ‘개인정보 유출 사실 안내 및 사과문’을 올렸다. 박창훈 대표 명의로 올라온 사과문에 따르면 이번에 유출된 개인정보는 일부 가맹점 대표의 휴대전화번호이며, 일부 가맹점 대표자는 이름, 생년월일, 성별 등 개인정보가 포함됐다.

특히 이번 유출 사고는 내부 직원에 의해 유출된 것으로 알려졌다. 회사는 “일부 가맹점 대표자의 이름, 생년월일 등 유출 정보는 해킹 등 외부 침투가 아닌 신한카드 직원을 통해 유출됐다”며 “해당 정보는 카드 모집 영업에 활용된 것으로 확인됐다”고 밝혔다. 이어 “회사는 유출 사실을 인지한 즉시 추가 유출을 차단 조치하고, 내부 프로세스 점검을 완료했다”고 안내했다.

회사는 지난달 12일 개인정보보호위원회로부터 가맹점 대표자 개인정보 유출과 관련한 공익 제보가 접수됐다며 사전 자료 제출을 요청받았다. 제보자는 신한카드 가맹점 대표자의 개인정보가 외부로 유출됐다는 증거 자료를 확보했다고 신고한 것으로 알려졌다.

신한카드는 지난달 13일부터 사실관계 확인을 위한 내부 조사에 착수했다. 제보자가 제출한 자료는 메신저 사진 파일 등 총 2247개 파일, 약 28만건의 가맹점 정보다. 회사는 이를 자사 데이터베이스(DB)와 대조하고 출력물 이전 및 외부 전송 로그 분석 등을 진행했다. 이와 함께 개인정보를 유출한 내부 직원에 대한 대면 조사도 병행했다.

신한카드는 제보된 데이터의 형태가 일정하지 않아 자사 DB와 비교 가능한 형태로 정형화하는 데 시간이 소요되면서, 데이터 분석과 유출 경위 파악 작업이 이달 초까지 이어졌다고 설명했다. 조사 결과, 2022년 3월부터 올해 5월까지 신규 가맹점 가운데 19만2088개 가맹점 정보가 외부로 유출됐다. 유출된 정보에는 가맹점의 사업자등록번호, 상호명, 주소, 전화번호 등 가맹점 정보와 함께 대표자의 개인정보가 포함됐다.

구체적으로는 △휴대전화번호 18만1585건 △휴대전화번호와 이름 8120건 △휴대전화번호·이름·생년·성별 2310건 △휴대전화번호·이름·생년월일 73건 등 총 19만2088건이다. 다만 주민등록번호, 카드번호, 계좌번호 등 고위험 개인정보나 금융 신용정보는 유출되지 않았다. 또 일반 카드 고객 정보와도 무관한 것으로 확인됐다.

회사 측은 일부 내부 직원이 신규 가맹점 대표자를 대상으로 카드 영업 실적을 높이기 위해 정보를 부적절하게 외부로 반출한 데서 사고가 발생한 것으로 파악했다. 회사 측은 추가적인 외부 확산 가능성은 크지 않다고 보고 있다.

회사는 사과문에서 “개인정보 유출 원인과 경위를 철저히 규명해 관련 직원들을 엄중히 문책하고 내·외부 보안 체계를 근본적으로 재점검 및 강화할 것”이라며 “개인정보 유출로 고객에게 피해가 발생할 경우 신속히 확인하고 보상해 드릴 것을 약속드린다”고 밝혔다.

한편 현재 신한카드 홈페이지에는 개인정보 유출여부를 조회할 수 있는 페이지도 마련돼 확인할 수 있다.

신한카드 직원이 가맹점주 사업자번호, 상호명, 주소, 전화번호 등 가맹점 정보를 함께 유출했다. 사진=김영명 기자

이번 신한카드 내부 일탈에 의한 개인정보 유출과 관련해 동종 카드업계의 한 정보보안 실장은 “우리나라는 IT가 급속도로 발전하다 보니 서비스 파트 강화에만 신경 쓰고 보안에 대한 투자 소홀과 함께 기본에 충실하지 않은 것 같다”고 이야기했다. 이 실장은 “특히 올해 여러 가지 해킹과 개인정보 유출이 많이 발생한 것은 하나의 문제에서 불거진 것이 아닌 여러 가지 요소들이 복합적으로 작용해 발생한 것으로 생각할 수 있다”며 “보안에 대한 금전적인 투자와 함께 보안인력 확보 등에 신경 쓰는 것이 중요하다”고 말했다.

내부자 소행과 관련해서는 “영업사원이 영업을 하기 위해서는 내부에는 없는 외부에 있는 데이터를 확보하고 이 데이터에 있는 명단을 대상으로 연락해야만 할 것”이라며 “이를 방지하기 위한 현실적인 대책이 있다기보다는 내부 직원 정신교육부터 시작해 보안 문화를 바꾸는 것이 가장 효율이 높을 것”이라고 강조했다.

이 실장은 “기본을 다시 확립하기 위해서는 보안 조직만이 아닌 전사적인 차원에서의 변화가 중요하다”며 “CEO 대표부터 말단 사원까지 전 사원이 보안에 대한 인식을 새롭게 하는 것이 중요하다”고 했다. 이어 “이제는 해킹 등 보안 위협이 발생하게 되면 100% 막을 수는 없는 시대”라며 “이제는 사고 이후에 얼마나 더 빨리 복구할 수 있는지, 즉 레질리언스 쪽에 더욱 신경을 쓰고 속도를 높일 수 있는 방안을 찾는 것에도 신경을 써야할 때”라고 조언했다.

전체메뉴

과학·기술·정보