신한카드, 가맹점주 19만 명 정보 유출…소상공인 데이터 사업 신뢰도 부담 [금융권 개인정보 유출 경고등]

[한국금융신문 강은영 기자] 신한카드에서 가맹점 대표자 휴대전화번호를 포함한 약 19만 건의 개인정보가 내부 직원에 의해 유출된 사실이 확인되면서, 카드 결제 데이터를 기반으로 한 소상공인·가맹점 대상 사업 전반에 대한 신뢰 훼손 우려가 커지고 있다. 플랫폼·개인사업자 CB(신용평가)·데이터 비즈니스 등 신한카드의 핵심 신사업 전략에도 적잖은 부담으로 작용할 수 있다는 분석이 나온다.

28일 카드업계에 따르면, 신한카드는 가맹점 대표자의 휴대전화번호를 포함해 약 19만건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다.

이와 관련해 경찰청 국가수사본부 사이버테러대응과는 신한카드 개인정보 유출 사건과 관련해 수사에 착수할 예정이다. 금융당국도 이날 긴급회의를 소집하고 사고 경위 및 재방방지 방안 등에 대해 논의했다.
신한카드는 지난달 12일 개인정보보호위원회(이하 개인정보위)로부터 공익 제보에 대한 조사 착수 전 사전 자료를 요청 받았다. 가맹점 대표자의 일부 개인정보가 유출됐다는 증거를 갖고 있다고 제보자가 개인정보위에 신고하면서 해당 내용에 대한 소명을 요청받았다.

이달 초까지 제출 자료를 데이터화 후 DB 비교·대조, 출력물 이전, 외부 전송 로그 등 분석을 진행하고, 내부 관련자에 대한 대면 조사를 병행하는 등 유출 경위를 파악했다.

조사 결과에 따르면, 가맹점 대표자의 ▲휴대전화번호 18만1585건 ▲휴대전화번호+성명 8120건 ▲휴대전화번호+성명+생년+성별 2310건 ▲휴대전화번호+성명+생년월일 73건 등 총 19만2800건이 신규 카드 모집에 이용하기 유출된 것으로 파악됐다.

유출된 정보는 신규 가맹점 대표자를 대상으로 카드 영업하기 위한 목적으로, 신한카드 직원이 정보를 유출한 사유도 영업 실적 증대를 위한 것으로 파악됐다. 이에 따라 유출된 정보가 다른 곳으로 추가 확산될 염려가 없다고 강조했다.

현재까지 조사된 내용에 따르면 주민등록번호 등을 포함한 개인정보와 카드번호, 계좌번호 등 신용정보는 유출되지 않은 것으로 확인됐다. 가맹점 대표자 정보 외 일반 고객 정보와는 전혀 관련이 없다고 밝혔다.

신한카드는 피해가 발생할 경우 적극적으로 피해 보상에 나설 계획이며, 가맹점 대표자가 본인의 정보가 포함됐는지 여부를 확인할 수 있는 페이지를 운영 중이다.

신한카드는 “이번 일로 심려를 끼친 점에 대해 깊은 사과 말씀을 드리며, 고객 보호와 유사 사례 재발 방지를 위해 최선의 노력을 다할 것”이라면서 “해당 사안이 ‘목적 외 개인정보 이용’인지, ‘정보 유출’인지 추가 조사를 통해 확인해야할 필요가 있으나, 적극적인 고객 보호를 위해 ‘정보 유출’에 준하는 조치를 취하고 있다”고 말했다.

이날 금융위원회는 신한카드 정보유출 사고와 관련한 긴급 대책회의를 소집하고, 개인신용정보 유출 가능성에 대한 검사 및 대응방향, 정보유출로 인한 추가적인 피해 방지 및 유사사례 재발방지 방안 등에 대해 논의했다.

금융당국은 신한카드에 실효성 있는 보호조치를 요청하고, 개인신용정보의 유출이 추가적으로 파악될 경우, 신용정보법 등 관련 법령에 따른 조치를 신속하게 진행해 나갈 계획이다.
이번 가맹점 정보 유출로 인해 그동안 카드 결제 데이터를 기반으로 한 소상공인·가맹점 대상 사업이 위축될 수 있을 것이라는 우려가 나오고 있다.

이번 가맹점 정보 유출로 인해 그동안 카드 결제 데이터를 기반으로 한 소상공인·가맹점 대상 사업이 위축될 수 있을 것이라는 우려가 나오고 있다. 특히 신한카드가 운영해 온 소상공인 통합 지원 플랫폼 ‘마이샵 파트너(MYSHOP Partner)’는 이번 사고로 인해 플랫폼 운영의 핵심 전제인 가맹점주 신뢰가 흔들리며 구조적 타격이 불가피할 전망이다.

마이샵 파트너는 약 15만 명의 가맹점주가 개인정보와 영업·매출 데이터 활용에 동의하는 것을 전제로 상권 분석, 매출 관리, 경영 지원 서비스를 제공하는 데이터 기반 플랫폼이다. 마이샵 파트너는 참여 가맹점 수와 데이터 집적도가 높을수록 분석 정확도와 서비스 정밀도가 강화되는 구조인 만큼, 데이터 제공 주체인 가맹점 대표자들이 정보 관리에 대한 불신으로 향후 개인정보 및 영업 데이터 활용 동의 철회나 플랫폼 이탈로 이어질 가능성이 존재한다.

비록 결제 데이터 자체가 유출된 것은 아니지만, 데이터 공급원인 가맹점주 본인의 신상 정보 관리에 대한 불안은 데이터 활용 전반에 대한 수용성을 낮추는 요인으로 작용할 수 있다. 이에 따라 이번 사고는 내부 직원의 일탈로 인한 개인정보 유출에 그치지 않고, 가맹점주 신뢰를 기반으로 데이터를 축적·활용해 온 마이샵 파트너 사업의 데이터 집적과 경쟁력 유지에도 부담으로 작용할 가능성이 존재한다.

금융권 관계자는 “이번 사안은 외부 해킹이 아닌 내부 영업 직원에 의해 가맹점주 정보가 유출된 사례로, 데이터 사업 자체와의 직접적인 연관성은 제한적일 수 있다”면서도 “다만 향후 가맹점 대상 플랫폼·데이터 활용 사업을 추진하는 과정에서는 신뢰도 측면에서 부담 요인으로 작용할 가능성이 있다”고 말했다.

여기에 경제적 손실 규모도 상당할 것으로 보인다. 지난해 4월 우리카드도 7만5000여건 가맹점 정보가 유출된 바 있다. 우리카드 인천영업센터 내부 직원이 가맹점 대표자 성명·전화번호·우리카드 가입 여부 등 개인(신용) 정보를 유출했다. 이 정보는 카드모집인이 우리카드 신규 모집 목적으로 이용했다.

올해 3월 개보위는 가맹점 정보 유출 사태를 겪은 우리카드에 134억5100만원의 과징금과 시정명령, 공표명령을 의결한 바 있다.

이번 신한카드 정보 유출 규모가 우리카드 규모에 비해 3배 가량 큰 것을 고려하면, 과징금 규모는 더욱 커질 것으로 예상된다.

강은영 한국금융신문 기자 eykang@fntimes.com