[FETV=임종현 기자] 최근 발생한 신한카드의 정보유출 사고는 외부 해킹이나 내부 시스템 취약점과는 무관한 사안으로 확인됐다. 일부 내부 직원의 규정 위반 행위가 원인으로 지목되면서 내부통제 제도 전반의 문제로 보기는 어렵다는 분석이다.

이에 따라 사안의 영향은 제한적인 수준에 그칠 것으로 보인다. 신한카드는 매년 정기 감사위원회를 통해 내부통제 시스템 전반을 평가하고 있으며 체계는 정상적으로 운영되고 있다고 밝혔다. 또한 추가 피해 확산을 막기 위한 대응 조치를 진행 중이며 향후 피해가 발생할 경우 적극적으로 피해 보상에 나선다는 방침이다.

신한카드는 지난 23일 가맹점 대표자 개인정보 19만2088건이 외부로 반출·전송된 정황을 확인하고 개인정보보호위원회에 신고했다. 유출된 정보는 가맹점의 사업자등록번호, 상호명, 전화번호 등으로 유출 기간은 2022년 3월부터 2025년 5월까지다. 주민등록번호와 카드번호, 계좌번호 등 민감한 신용정보는 포함되지 않았으며 일반 고객 정보와도 무관하다고 밝혔다.

신한카드에 따르면 유출 원인은 내부 직원의 일탈로 확인됐다. 내부 조사 결과 12명의 직원이 카드 모집인에게 가맹점 대표자 정보를 제공한 것으로 파악됐다. 신한카드는 개인정보 과다 조회나 오·남용을 방지하기 위한 상시 모니터링 시스템을 이미 구축·운영하고 있으나 이번 사고는 직원들이 조회를 분산해 진행하고 휴대전화 촬영이나 수기 메모 등 비정형 방식으로 정보를 전달하면서 기존 시스템상 탐지가 어려웠던 사례라고 설명했다.

신한카드는 내부통제위원회를 중심으로 한 상시 점검과 의사결정 체계를 가동하며 내부통제 강화를 강조해왔다. 내부통제위원회는 내부통제 기본 방침과 전략을 수립하고 임직원의 직업윤리와 준법정신을 중시하는 조직문화 정착 등을 추진하고 있다. 이를 지원하기 위해 준법감시팀을 운영하고 있으며 팀장은 관련 업무를 총괄하고 규모는 13명이다.

올해 2월26일 열린 제1차 정기 감사위원회에서는 내부통제 시스템 전반을 점검한 결과 각 영역에서 준수해야 할 기준과 절차가 명확히 수립돼 있으며 이를 조직과 업무 분장에 반영해 내부통제가 전반적으로 적정하게 운영되고 있다고 판단했다.

감사위원회는 지난해 총 8차례 개최됐으며 감사위원 전원이 100% 참석했다. 2024년 한 해 동안 전년도 감사 결과와 내부회계관리제도 평가, 내부통제 시스템 운영 평가 등을 정기적으로 심의했다. 준법감시팀의 내부통제 운영 결과와 향후 계획, 연간 감사 진행 상황에 대한 보고도 지속적으로 점검했다. 주요 보고 안건으로는 준법감시팀 내부통제 결과 및 계획, 내부통제시스템 운영 평가 결과 등이 포함됐다.

신한카드는 이번 사고를 계기로 내부통제 체계 전반을 다시 점검하고 개인정보 접근 및 관리 절차에 대한 보완 작업을 강화할 방침이다. 재발 방지를 위해 개인정보 접근 권한을 업무상 필요한 범위로 더욱 제한하고 접근 권한 부여 기준을 한층 강화했다. 개인정보는 원칙적으로 마스킹 처리하고 불가피한 경우에 한해 승인 절차를 거쳐 조회·입력이 가능하도록 통제 체계를 보완했다.

아울러 정보 접근 이력에 대한 이상 징후 탐지 모니터링을 고도화하고 영업 현장에서는 출력 제한과 함께 무단 촬영을 차단·추적할 수 있는 외부 유출 관리 시스템을 추가로 구축했다. 이를 통해 휴대전화 촬영 등 비정형 방식의 정보 유출 가능성까지 관리 범위에 포함시켰다는 설명이다.

신한카드 관계자는 "고객 보호 차원에서 현재는 정보 유출에 준하는 조치를 취하고 있다"라며 "내부통제와 개인정보 관리 체계를 전반적으로 재점검해 유사 사례가 재발하지 않도록 하겠다"고 말했다.