신한카드 19만 건 정보유출, 금융권 흔드는 '내부통제'의 위기

1. 신뢰의 붕괴, 금융권에 드리운 '정보유출 포비아'

2025년 12월 하순, 대한민국 금융권은 다시금 깊은 침묵과 우려에 휩싸였다.

올해 우리카드·롯데카드 해킹, 쿠팡·SKT 정보유출 논란 등 정보보호 이슈가 이어지는 가운데, 업계 1위인 신한카드에서조차 가맹점 정보가 대량으로 유출되는 사고가 발생했기 때문이다. 이번 사태는 외부 해킹에 의한 기술적 침해가 아닌, 실적 압박과 내부 직원의 일탈이 결합된 '내부통제 실패' 사례라는 비판이 제기된다.

금융의 본질은 '신용'이다. 그러나 반복되는 사고는 금융사들의 보안 의식이 시스템 구축에만 머물러 있을 뿐, 이를 운용하는 '인적 리스크(Human Risk)' 관리에는 심각한 허점을 드러내고 있다는 지적이다.

이번 심층분석에서는, 신한카드 사태의 정확한 팩트를 재구성하고, 개인정보보호법(PIPA) 등 법적 쟁점과 향후 금융당국의 제재 방향, 그리고 단계적 도입이 진행 중인 '책무구조도'에 미칠 영향을 심층적으로 분석한다.

2. 19만 2,088건의 진실과 유출 경로

정교하게 파악된 유출 데이터의 실체

이번 사고는 신한카드의 일부 영업소 소속 내부 직원들이 신규 카드 모집 실적을 위해 가맹점주 정보를 무단으로 수집·유출한 것으로 파악된다. 유출 행위는 2022년 3월부터 2025년 5월 사이에 이뤄진 것으로 회사와 당국 조사 과정에서 드러났다.

유출된 정보는 총 19만 2,088건으로 확인되었으며, 구체적인 항목은 다음과 같이 세분화된다.

• 휴대전화번호 단독: 18만 1,585건

• 휴대전화번호 + 성명: 8,120건

• 휴대전화번호 + 성명 + 생년·성별: 2,310건

• 휴대전화번호 + 성명 + 생년월일: 70여 건 수준

• 기타: 일부 가맹점 주소, 전화번호, 사업자등록번호 등 가맹점 관련 정보

신한카드 측은 "주민등록번호나 신용카드 번호, 계좌번호와 같은 민감한 금융 신용정보는 포함되지 않았다"고 설명했으나, 가맹점 대표자의 개인 휴대전화번호가 대량으로 포함되었다는 점에서 개인정보 침해 논란을 피하기 어려운 상황이다.

공익 제보로 드러난 '감시의 사각지대'

주목해야 할 점은 이번 사건이 회사의 상시 모니터링 시스템(FDS 등)이 아닌, 외부 제보를 통해 세상에 알려졌다는 사실이다.

이번 사안은 개인정보보호위원회(개보위)에 접수된 공익 제보를 계기로 수면 위로 떠올랐다. 개보위의 자료 제출 요청 이후, 신한카드가 약 3주간 데이터베이스(DB) 대조 분석과 관련자 조사를 진행한 끝에 비로소 유출 규모와 기간이 확인됐다. 이는 금융사의 내부 감시망이 장기간 조직적으로 이뤄진 일탈 행위를 실시간으로 포착하는 데 한계가 있었다는 방증이라는 분석이다.

3. 심층 분석: 반복되는 '내부통제 실패'와 구조적 원인

과열된 시장과 성과 지상주의의 그늘

국내 카드 시장은 이미 포화 상태다. '레드 오션' 환경에서 신규 가맹점과 회원을 유치하기 위한 경쟁은 전쟁을 방불케 한다.

KBR Insight: 실적 압박이 부른 예고된 사고?

금융권 안팎에서는 현장의 과도한 실적 압박이 내부통제라는 안전장치를 무력화시키는 주원인이라는 지적이 이어진다. 영업 현장에서는 목표 달성을 위해 비공식적인 경로로 데이터를 확보하려는 유혹이 상존하며, 이것이 결국 '도덕적 해이'라는 부메랑으로 돌아오고 있다는 비판이다.

우리카드 사례와의 구조적 유사성

이번 사건은 지난 3월 대규모 과징금을 부과받았던 우리카드 사례와 구조적으로 매우 닮아 있다는 평가가 나온다.

우리카드 인천영업센터는 2022년 7월부터 2024년 4월까지 가맹점 사업자등록번호를 이용해 최소 13만 1,862명의 성명·주민등록번호·휴대전화번호·주소 등을 조회하고, 이를 카드 모집인 단체 채팅방 등에 공유했다.

이에 대해 개인정보위는 2025년 3월 우리카드에 134억 5,100만 원의 과징금과 시정·공표명령을 의결한 바 있다. 신한카드 사태 역시 영업 목적의 정보 무단 활용이라는 점에서 유사한 제재 가능성이 크다는 관측이 금융권 일각에서 나온다.

내부통제 시스템의 현실적 한계

대부분의 금융사는 DLP(데이터 유출 방지) 솔루션 등을 도입하고 있지만, 정상적인 권한을 가진 직원이 업무상 필요를 가장하여 데이터를 조회하고 반출하는 행위까지 기술적으로 완벽히 차단하기는 어렵다는 한계가 지적된다.

특히 영업 지원을 명목으로 데이터 접근 예외 권한이 관행적으로 허용되는 경우가 있어, 보안 사각지대가 발생할 수밖에 없는 구조적 요인도 문제로 꼽힌다.

4. 파장 및 전망: 법적 제재 수위와 '책무구조도'의 시험대

개인정보보호법상 과징금과 제재 강화 움직임

현행 개인정보보호법은 중대한 개인정보 침해 사고 발생 시, 전체 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다.

신한카드의 연 매출 규모를 고려할 때, 위반 행위의 중대성이 인정될 경우 적지 않은 액수의 과징금이 산정될 가능성을 배제할 수 없다.

더욱이 최근 국회 정무위 법안소위에서 반복적이고 중대한 유출 사고에 대해 과징금 상한을 최대 10%까지 상향하는 개정안이 첫 관문을 통과했다.

이러한 입법 강화 기조는 이번 신한카드 사건에 대한 제재 수위 결정에도 간접적인 영향을 미쳐, 우리카드 사례(약 134억 원)를 상회하는 역대급 제재가 논의될 수 있다는 관측도 제기된다.

금융당국의 검사와 경영진 책임론

금융감독원은 현재 신한카드의 "고객 신용정보 유출 정황은 없다"는 입장과는 별개로, 내부통제 실태 전반을 점검하기 위한 검사 방안을 검토하고 있다. 이번 사고가 단순 실수가 아닌 조직적, 반복적 행위로 드러날 경우, '기관 경고' 이상의 중징계가 내려질 수 있다는 전망이다.

특히 이번 사태는 금융사 임원별 내부통제 책임을 명확히 하기 위해 도입이 추진 중인 '책무구조도'와 맞물려 주목받고 있다.

책무구조도는 은행·금융지주를 시작으로 단계적으로 확대되고 있으며, 여신전문금융회사 등으로 적용 대상을 넓히는 작업이 진행 중이다. 금융당국은 개정 지배구조법 시행과 함께 책무구조도 제출 의무를 순차적으로 부과하고 있어, 2026년 전후로 대부분 금융사가 책무구조도 체계를 갖추게 될 전망이다.

이에 따라 향후 유사 사고 발생 시 임원 적격성 심사나 인사·보수에 책임이 반영될 수 있다는 관측이 나온다. 과거처럼 실무자 선에서 꼬리 자르기로 끝나는 것이 아니라, 경영진에게도 관리 소홀에 대한 책임이 요구될 수 있다는 의미다.

소비자 신뢰 하락과 집단 분쟁 가능성

온라인 커뮤니티 등에서는 일부 소비자들이 정보 관리 부실에 대한 실망감을 표하며 신한카드 사용 중단을 거론하는 등 여론이 악화되고 있다. 과거 카드사 정보유출 당시 대규모 소송전이 벌어졌던 전례를 감안하면, 이번에도 피해를 입은 가맹점주들을 중심으로 집단 분쟁 조정 신청이나 소송 제기 가능성이 조심스럽게 점쳐진다.

5. 대안 및 해결책: '제로 트러스트'와 조직 문화 혁신

'제로 트러스트(Zero Trust)' 보안 원칙의 적용 필요성

이제 금융권 보안은 '내부 직원은 신뢰할 수 있다'는 전제를 버리는 것에서 시작해야 한다는 목소리가 높다.

• 권한 최소화: 직무별 데이터 접근 권한을 세분화하고, 대량 데이터 조회 시 상급자 승인 절차를 강화해야 한다는 지적이다.

• 이상 징후 탐지 고도화: AI 기반의 분석 시스템을 통해 업무 패턴을 벗어난 데이터 접근이나 과도한 조회 행위를 실시간으로 탐지하는 체계를 갖춰야 한다는 전문가들의 조언이 따른다.

KPI 개선과 준법 감시의 내재화

단순한 시스템 도입을 넘어 조직 문화의 변화가 시급하다는 의견이 지배적이다.

무리한 실적 목표가 불법 행위를 정당화하지 않도록 KPI(핵심성과지표)를 재설계하고, '정도 영업' 준수 여부를 평가의 핵심 요소로 반영해야 한다는 것이다. 또한 내부 고발 제도를 실질화하여 자정 능력을 키우는 것이 중요하다는 평가다.

6. 결론: 잃어버린 신뢰, 회복을 위한 뼈를 깎는 노력 필요

신한카드의 이번 정보유출 사태는 디지털 금융 시대에 데이터 관리가 기업의 생존과 직결된 문제임을 다시 한번 각인시켰다. 19만여 건의 유출은 단순한 수치를 넘어, 금융사를 믿고 거래한 고객들의 신뢰에 금이 갔음을 의미한다.

수백억 원대의 과징금 가능성과 당국의 고강도 검사 가능성이 제기되고 있다. 하지만 더욱 중요한 것은 이번 위기를 계기로 금융사가 보안을 '비용'이 아닌 '핵심 가치'로 재정립하는 것이다.

기술적 보완과 더불어 윤리 의식 제고를 위한 근본적인 체질 개선만이 흔들리는 고객의 신뢰를 다시 세우는 유일한 길이라는 것이 업계의 중론이다.