신한카드 20만 정보유출, 쿠팡·롯데카드와 뭐가 다른가

(서울=연합인포맥스) 이현정 허동규 기자 = 신한카드에서 약 20만건의 가맹점 개인정보가 유출된 것으로 확인되면서 최근 쿠팡, 롯데카드 등에서 터진 대형 개인정보유출 사고와 맞물려 내부통제 및 보안 문제가 확산할 것으로 보인다.

다만, 이번 사고는 외부 해킹이 아닌 내부 직원의 일탈 문제인 데다, 주민등록번호, 카드일련번호와 비밀번호 등 민감정보는 유출되지 않았다는 점에서 파장이 제한적일 것으로 전망된다.

23일 금융권에 따르면 최근 신한카드에서 가맹점 대표자 개인정보 약 20만건이 유출되는 사고가 발생해 개인정보보호위원회에 신고했다.

유출된 정보는 대부분 휴대전화 번호와 생년월일 등 개인정보인 것으로 파악됐다. 구체적으로는 ▲휴대전화번호 18만1천585건 ▲휴대전화번호+성명 8천120건 ▲휴대전화번호+성명+생년+성별 2천310건 ▲휴대전화번호+성명+생년월일 73건 등 총 19만2천88건이다.

이번 사고는 올해 발생한 다른 정보유출 사고와는 차이가 있다.

우선, 정보유출 건수 자체가 20만건 미만으로 SKT(2천696만명)·KT(2만3천명)·쿠팡(3천370만명)·롯데카드(297만명)와 비교해 훨씬 적다.

또 외부 해커에 의해 고객 정보가 유출된 롯데카드, KT, 쿠팡 등의 사례와 달리 신한카드의 경우 내부 직원이 신규 카드 모집에 이용할 목적으로만 가맹점주들의 개인정보를 빼돌렸다.

KT는 외부 해킹으로 고객의 국제모바일가입자식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등이 유출돼 368명이 약 2억4천만원 규모의 무단 소액결제 피해를 실제로 입었다. SKT 역시 개인을 특정할 수 있는 핵심 정보까지 25개 항목이 털렸다.

지난달 쿠팡에서 터진 정보유출 사고 역시 해킹으로 인한 고객 이름과 이메일 주소, 전화번호, 주문 정보 등 개인정보 유출이었다.

지난 9월 같은 업권인 롯데카드에서 발생한 사이버 침해 사고도 해커가 온라인 서버를 통해 200기가바이트(GB)의 데이터를 외부로 반출하며 297만명의 정보가 노출됐다. 롯데카드는 고객 개인정보 외에도 카드 결제 정보도 함께 유출됐다.

롯데카드에서 정보유출 피해를 본 고객 수는 297만명으로 이 중 267만명은 암호화된 카드번호, 온라인 결제 정보 등이 유출됐으며 나머지 28만명은 추가로 비밀번호 2자리, 유효기간, CVC 번호까지 유출되는 피해를 당했다.

금융감독원은 지난 9월부터 두 달여간 전자금융거래법, 신용정보법, 여신전문금융업법상 위규 사항이 없었는지 롯데카드에 대한 수시검사를 실시했으며, 개인정보보호위원회에서도 별도로 개인정보보호법 적용 여부를 확인하기 위해 지난 9월 말부터 조사를 이어오고 있다.

전금법상 안정성 확보 의무가 있는 모든 금융회사는 금융감독원 소관이며, 상거래기업이나 법인이 개인정보를 분실·도난·누출·변경·훼손한 경우 신정법에 따라 금융당국으로부터 과징금을 부과받을 수 있다.

이번 신한카드 사고는 쿠팡, 롯데카드, 통신사의 사례와 달리 지난해 우리카드의 개인정보 유출 사례와 더 닮아있다.

신한카드와 우리카드 사례 모두 제3자의 불법적인 접근으로 정보가 유출되지 않았으며 결제 정보 유출 없이 가맹점 대표의 개인정보만 유출됐다는 점에서다.

우리카드 인천영업센터는 신규 카드 발급을 모집하기 위해 지난 2022년 7월부터 2023년 4월까지 카드 가맹점의 사업자등록번호를 자사 내부 시스템에 입력해 최소 13만여명의 가맹점주 개인정보를 조회했다. 이 과정에서 가맹점 대표 이름, 주민등록번호, 연락처, 주소 등이 포함된 개인정보가 카드 모집인에게 전달됐다.

이에 우리카드는 올 초 개인정보 무단 활용으로 개보위로부터 시정조치와 134억5천만원의 과징금을 부과받았다.

개보위에서 징계를 부과하기 위해서는 이름, 주민등록번호, 생년월일 등 순수 개인정보가 다른 정보와 결합해 신용정보화되지 않은 채 유출돼야 하며, 매출의 3% 이내에서 과징금을 부과할 수 있다.

hjlee@yna.co.kr