[뉴스토마토 신수정·유영진 기자] 우리·롯데·신한카드 등 카드사 정보 유출 사고가 반복되면서 개인정보 보호에 대한 국내 규제 실효성이 다시 도마에 올랐습니다. 미국과 유럽 등 해외 주요국에서는 정보 유출 관련 수천억 원에서 조 단위 과징금과 집단소송 배상이 이뤄지는데, 국내에선 대형 사고에도 과징금 규모가 작아 기업들이 버틸 만하다는 평가를 받습니다. 전문가들은 "카드사가 보유한 방대한 개인정보의 위험성을 고려해 미국처럼 고액 과징금과 집단소송을 통해 기업 책임을 실질적으로 강화해야 한다"고 제언하고 있습니다.
우리·롯데·신한카드, 반복되는 게인정보 유출
24일 금융권과 경찰 등에 따르면 신한카드에서 2022년 3월부터 올해 5월까지 자영업자와 소상공인 등 가맹점 대표자의 개인정보 유출 건수는 총 19만2088건입니다. 휴대전화번호 18만1585건, 휴대전화번호·성명 8120건, 휴대전화번호·성명·생년·성별 2310건, 휴대전화번호·성명·생년월일 73건 등입니다.
이는 공익 제보자가 가맹점 대표자 개인정보가 외부로 유출됐다는 증거를 개인정보보호위원회에 신고하면서 드러났습니다. 다만 현재까지 조사에 따르면 주민등록번호 등을 포함한 개인정보와 카드번호, 계좌번호 등 신용정보는 유출되지 않았습니다. 가맹자 대표자 외 일반 고객 정보 또한 유출되지 않았다고 알려졌습니다.
조사 결과 유출 원인은 해킹 등 외부 침투가 아닌 일부 내부 직원의 신규 카드 모집을 위한 일탈로 밝혀졌습니다. 신한카드는 영업점을 관리하는 내부 직원이 가맹점 대표자를 대상으로 신규 카드 모집 실적을 올리고 싶어서 신규 가맹점 대표자의 정보를 설계사에게 제공하는 과정에서 유출됐다고 설명했습니다.
신한카드는 이번 유출에 최소 5개 영업소에서 직원 12명이 연루된 것으로 파악, 이들을 업무에서 배제하고 형사 고발 등 추가 후속 조치를 검토 중입니다. 경찰청 국가수사본부 사이버테러대응과는 전날 경기북부경찰청 사이버수사과에 내사를 지시했으며, 경찰은 신한카드로부터 피해 내역을 확인한 뒤 정식 수사에 착수할 방침입니다.
이번 신한카드 정보 유출은 지난해 우리카드 영업 위규 사례와 구조적으로 비슷합니다. 당시 우리카드 인천영업센터는 2022년 7월부터 2024년 4월까지 20만7583명 마케팅 활용에 동의하지 않은 가맹점주 개인정보를 조회해 우리카드의 카드 모집인에게 제공했습니다. 따라서 개보위로부터 134억5000만원의 과징금을 부과 받았습니다.
또한 지난 8월 롯데카드에서 해킹으로 인해 297만명 고객정보가 유출된 데에 이어 신한카드까지 정보 유출 논란이 일면서 카드업권에 또 한번 정보 유출 사고에 대한 경고등이 켜졌습니다.
카드업권은 이미 과거 2014년 카드 3사(롯데·KB국민·NH농협카드) 고객 정보 대규모 유출 사태를 겪으며 몸살을 앓았는데요. 당시 정보 유출은 카드사의 물리적 관리 부실이 핵심이라면, 최근 정보 유출은 기술적 허점과 복합적 인재가 결합된 양상을 보이고 있습니다. 기술적 해킹도 문제지만 내부 직원이나 협력사가 유출 경로가 된 사례도 빈도가 높아지고 있습니다.
황석진 동국대 국제정보보호대학원 교수는 "1등 카드사라고 해도 이번 사건은 내부통제 부분이 상당히 허술했다"며 "정보보호는 기술적인 부분과 관리적인 부분이 있는데, 기술적인 부분에 투자를 잘해도 내부자 관리가 되지 않으면 소용없다"고 말했습니다.
나아가 카드사들이 단순 결제 정보를 넘어 소비 패턴, 위치 정보 등 가장 상세한 삶의 데이터를 ‘마이데이터’ 형태로 보유하고 있어 피해가 기하급수적으로 확대될 우려가 있습니다. 협력사 보안 관리의 내재화와 임직원 보안 윤리 의식이 카드사 생존을 결정짓는 또 다른 척도가 될 것으로 예상됩니다.
(사진= Google Gemini 합성)
"형사처벌 의미 없고 배상 금액 커야"
해외 금융 관련 회사의 개인정보 유출 사고에 대한 제재 수위는 국내와 뚜렷한 대비를 보였습니다. 미국 신용평가사 에퀴팩스는 2017년 약 1억4000만명의 개인정보 유출 사고로 연방거래위원회(FTC)와 약 8000억원 규모의 합의금을 지급했습니다. 모건스탠리는 2020년 고객정보 관리 부실로 약 800억원의 제재를 받았습니다.
집단소송에 따른 배상 규모도 해외 수천억 단위로 집행됐습니다. 에퀴팩스는 집단소송을 포함해 총 1조원 안팎의 배상에 합의했고, 캐피털원은 2019년 해킹 사고 이후 소비자 집단소송으로 약 2600억원을 지급했습니다.
반면 국내 금융사는 대형 개인정보 유출 사고에도 과징금과 배상 규모가 작아 비슷한 유형의 사고가 반복된다는 견해가 많습니다. 2014년 KB국민·NH농협·롯데카드에서 약 1억건의 개인정보가 유출된 사건에 대해 법원은 1인당 최대 10만원 배상 판결을 내렸습니다. 피해자들은 1인당 20만~70만원씩 총 13억여원을 요구했으나 재산상 피해가 확인되지 않았고 카드사가 2차 피해 방지를 위해 노력한 점이 참작됐습니다.
국내외 정보 유출 과징금 및 배상의 간극이 벌어진 이유는 집단소송법의 유무에 있다고 분석됩니다. 집단소송은 일부 피해자가 소송을 내서 승소하면 판결 효력이 소송을 제기하지 않은 다른 모든 피해자에게도 확정돼 일괄적으로 배상받을 수 있는 제도입니다.
국내에서도 집단소송법의 필요성과 도입 논의가 이뤄졌지만, 매번 도입이 좌초됐습니다. 현재 국내에선 소송을 제기한 사람들만 배상받는 '공동소송'이 대부분입니다. 또 피해자가 아닌 소비자단체 등 시민사회에서 기업의 위법행위를 중지시키기 위한 목적의 단체소송도 있습니다.
황 교수는 "형사처벌은 큰 의미가 없고 과징금, 손해배상 금액이 커야 기업이 정신을 차린다"며 "현재 처벌들은 실효성이 없어 비슷한 (정보 유출) 사태들이 재발하고 있는 것"이라고 진단했습니다. 그러면서 "대표 소송제도를 도입해서 한 명이 승소하면 나머지 모든 사람에게도 물어주도록 하는 법 도입이 필요하다"고 강조했습니다.
(그래픽=뉴스토마토)
신수정 기자 newcrystal@etomato.com
유영진 기자 ryuyoungjin1532@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지