정보유출 공포 확산…제재 실효성 도마 위[끊이지 않는 보안 사고③]

등록 2025.12.28 14:00:00

롯데 이어 신한카드, 개인정보 다량 유출

[서울=뉴시스] 신한카드 본사 전경. (사진=뉴시스DB) photo@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 신한카드 본사 전경. (사진=뉴시스DB) [email protected] *재판매 및 DB 금지

[서울=뉴시스]권안나 기자 = 업계 1위 신한카드에서 19만명의 가맹점주 개인정보가 유출되는 사고가 발생한 가운데 과징금 등 제재 수위에 촉각이 모아진다. 회사가 3년 넘게 내부직원의 일탈을 감지하지 못하면서 내부통제 허점이 드러난 만큼, 실효성있는 제재의 필요성이 제기된다.

28일 금융권에 따르면 금융감독원은 최근 신한카드에서 발생한 가맹점 대표자 약 19만명의 개인정보 유출에 대해 사고 경위와 법 위반 사실을 확인하기 위해 현장검사에 들어갔다.

이번 유출은 지점 영업소 직원의 소행으로 2022년 3월부터 올해 5월까지 3년 넘게 진행됐다. 신한카드에서는 해당 사실을 지난달 개인정보보호위원회의 공익제보로 뒤늦게 파악했고, 해당 직원은 사내 시스템에 접속한 뒤 화면 캡처 및 수기 기록 방식으로 정보를 반출한 것으로 조사됐다.

개보위는 앞서 개인정보보호법 위반 여부를 가리기 위한 조사에 착수했다. 금감원에서는 현장검사에 들어가면서 신용정보법 위반 여부를 집중적으로 파악한다는 방침이다. 금감원 측은 "추가적인 개인신용정보 유출 가능성과 정보보호 관련 내부통제 시스템 등을 면밀히 조사할 것"이라고 말했다.

금융권 안팎에서는 민감한 금융정보를 다루는 금융사에서 이 같은 대규모 유출 사고가 발생했다는 점에서 강력한 제재가 불가피하다는 목소리가 높아지고 있다.

금융회사는 고객의 신용정보, 거래내역, 자산정보 등 극도로 민감한 개인정보를 대량으로 보유하고 있어, 정보 유출 시 2차 금융사기나 신용카드 부정사용 등 직접적인 재산 피해로 이어질 가능성이 높다. 특히 이번 사건은 해킹이 아닌 내부 직원에 의한 조직적 유출이라는 점에서 신뢰 기반을 훼손했다는 비판이 제기된다.

현행 개인정보보호법 제62조 제2항은 개인정보처리자가 관리하는 개인정보가 유출된 경우, 전체 매출액의 3% 이내에서 과징금을 부과할 수 있도록 규정하고 있지만 상한선까지 부과되는 경우는 드물다.

이번 사태는 지난해 가맹점 대표자 개인정보 약 7만5000건이 카드모집인을 통해 유출된 우리카드 사태와 구조적으로 유사하다. 개보위는 올초 목적 외 이용 및 내부 통제 부실을 핵심 위반 사유로 우리카드에 과징금 134억5100만원을 부과했다. 우리카드의 2023년 순영업수익 8710억원의 3%인 261억원의 절반 수준이다.

신한카드는 이번 사건에서 확인된 유출 규모만 19만명으로 우리카드의 2배를 상회하고, 매출(영업수익) 규모는 6조1975억원에 달한다. 단순 계산으로는 신한카드의 과징금 법정 상한액이 1800억원대지만, 상한액에 훨씬 못미치는 제재가 나올 가능성이 높다.

해외에서는 개인정보 유출 사고에 대해 훨씬 강력한 제재가 이뤄지고 있다. 유럽연합(EU)의 일반개인정보보호규정(GDPR)은 연매출의 최대 4%까지 과징금을 부과할 수 있도록 하고 있다. 실제로 아마존은 2021년 7억4600만 유로(약 1조원), 메타(페이스북)는 2023년 12억 유로(약 1조7000억원)의 과징금을 부과받았다.

다만 금감원이 신정법 위반을 별도로 인정할 경우 과태료나 기관 제재 등이 추가될 수 있다. 금감원은 우리카드의 정보유출 사고에 대한 검사도 아직 진행 중이어서 우리카드 역시 추가 제재 가능성이 열려있다.

금감원 관계자는 "개인정보 유출 자체로는 이중 제재가 성립하지 않지만 사안이 다를 경우 구분해서 부과가 될 수 있다"며 "각 법에서 규정하고 있는 유출 정보의 정의와 범위, 제재 규정이 달라서 발생할 수 있는 것"이라고 말했다.

◎공감언론 뉴시스 [email protected]