신한카드 개인정보 유출 19만 건…지연 통지·내부통제 허점, 무엇이 문제였나

사건 개요: 3년간 누적된 유출, 내부 직원의 일탈

신한카드 일부 영업 조직에서 2022년 3월부터 2025년 5월까지 가맹점 대표자의 개인정보가 외부로 반출된 사실이 확인됐습니다. 회사 내부 시스템 화면을 촬영하거나 수기로 적는 방식이 동원됐고, 카드 모집 업무를 위한 영업에 활용된 정황이 알려졌습니다.

회사 측은 사실 확인 후 관련 내용을 감독당국에 보고했고, 개인정보보호위원회(이하 개보위) 조사와 함께 금융감독원(이하 금감원)의 현장검사가 진행 중입니다. 유사 사례 재발 방지 대책이 업권 전반으로 확대되는 분위기입니다.

유출 정보 범위: ‘전화번호만’이 94%라도 안심할 수 없는 이유

유출 규모는 약 19만 건으로, 항목에는 휴대전화 번호, 성명, 생년월일, 성별, 사업자번호, 가맹점 상호·주소·전화번호 등이 포함된 것으로 파악됩니다. 회사 자체 점검 단계에서 “신용정보는 포함되지 않았다”는 취지의 설명이 있었지만, 금감원은 추가 유출 가능성을 열어두고 확인 중입니다.

전화번호만 유출됐을 때의 리스크

휴대전화 번호 단독 유출이더라도, 가맹점 상호·주소 등과 결합되면 특정 개인을 식별하기 쉬워집니다. 또한 전화번호는 보이스피싱, 스미싱, 스팸 영업의 1차 표적 데이터로 활용됩니다. ‘전화번호만이어서 괜찮다’고 보기 어려운 이유입니다.

가맹점 정보와 결합될 때

사업자번호, 상호, 주소가 함께 유출되면 기업형 스캠이 정교해집니다. 예컨대, 가맹점 수수료 인하를 미끼로 한 소액결제 사기, 위장 PG가입 권유, 통신사·배달앱 수수료 환급 사칭 등이 대표적입니다.

지연 통지 논란: 72시간 원칙과 현실 사이

회사 보고와 피해자 통지 사이에 시차가 있었다는 점이 문제로 제기됐습니다. 개인정보 유출을 알게 된 경우, 원칙적으로 72시간 내 정보주체에게 통지하도록 규정돼 있습니다. 세부 항목을 모두 확정하지 못하더라도, 확인된 범위 내에서 우선 통지하는 것이 원칙입니다.

회사 측은 내부 확인 절차가 진행 중이었고 실제 유출 인지 시점을 기준으로 즉시 신고했다는 입장이지만, 결과적으로 피해자 통지가 늦어진 만큼 규정 준수 여부에 대한 조사가 이어지고 있습니다.

감독당국 조치: 현장검사와 업권 전수점검

금융당국은 신속히 현장검사에 착수해 추가적인 개인신용정보 유출 여부와 내부통제 시스템의 작동 상태를 확인하고 있습니다. 개보위와의 공조 아래, 유출 항목의 성격과 통지·신고 절차 준수 여부도 점검 중입니다.

특히 카드 모집 과정 전반에서 유사 사례가 있는지 전 카드업권에 대한 점검이 예고됐고, 필요시 검사로 전환될 전망입니다. 이번 사안은 업권 전체의 정보보호 체계를 재점검하는 계기가 되고 있습니다.

법적 쟁점과 제재 가능성: 과징금 상한과 추가 제재

개인정보 유출이 확인되면 매출액을 기준으로 과징금이 산정될 수 있습니다. 여기에 신용정보법 등 개별 규정 위반 사항이 확인될 경우, 과태료나 기관 제재가 병행될 수 있습니다. 유출 규모와 기간, 내부통제의 실효성, 통지 지연 여부 등이 제재 수위 판단의 핵심 요소가 됩니다.

아울러, 피해자 통지의 적정성, 보호조치의 실효성(예: 모니터링 강화, 권한 축소, 출력·촬영 추적 시스템 도입 등)도 조사 포인트입니다. 실제로 회사는 조회 권한 재설계, 실시간 이상징후 탐지 보강, 출력물·화면 촬영 추적 기능 도입 등 보완책을 밝혔습니다.

내부통제 무엇이 비었나: ‘사람·프로세스·시스템’ 세 겹의 구멍

1) 사람: 직무윤리와 권한 관리

영업 압박이 큰 환경에서 모집 성과를 위한 무리한 시도가 직원 개인의 일탈로 번지기 쉬워집니다. 최소권한 원칙(필요한 데이터만 조회·사용), 다단계 승인, 직무분리 원칙이 느슨하면 인적 리스크는 구조화됩니다.

2) 프로세스: 로그와 증거의 폐쇄 루프

조회·다운로드·복사·출력·촬영 등 데이터 접점마다 로그가 남고, 이를 정기적으로 점검해 이상 패턴을 조기에 포착해야 합니다. 수기로 기록하거나 화면을 촬영하는 방식은 전통적 DLP(유출방지) 체계의 사각지대인데, 화면 워터마크·캡처 탐지·카메라 반출 통제 등 보완책이 필요합니다.

3) 시스템: 이상행위 탐지의 민감도

야간·휴일 대량 조회, 평소 대비 급증한 조회, 타 부서 데이터 비정상 접근 등 행위 기반 탐지 모델이 민감하게 반응했는지, 경보를 조직이 어떻게 처리했는지가 관건입니다. 경보만 많은 ‘소음’도 문제지만, 묵살되는 경보는 더 큰 문제입니다.

가맹점주·소상공인을 위한 체크리스트

이번 유출 대상은 가맹점 대표자 중심입니다. 직접적인 금전 피해로 번지지 않도록 아래 항목을 점검해 보세요.

• 통신사 스미싱 차단 서비스 활성화 및 문자 수신 차단 키워드(‘승인’, ‘환급’, ‘입금’) 설정
• 카드사·PG사·배달앱을 사칭한 전화는 콜백으로 재확인(앱 내 공지/대표번호로 역조회)
• 사업자번호·상호·주소·대표자 생년월일을 요구하는 ‘수수료 인하’ 제안은 즉시 보류
• 전자세금계산서, 네이버·카카오 비즈 계정의 2단계 인증 의무화
• 직원에게 ‘가맹점 정보는 외부 공유 금지’ 서약 및 교육 재실시
• 매장 전화에 ARS 비밀번호, 카드단말 관리자 비밀번호 교체
• 모집인 방문 시 신분증·위임장 실물 확인, 촬영·복사 요청은 거절

2차 피해 예방 가이드: 지금 당장 할 수 있는 것들

전화·문자 대응

모르는 번호의 영업·환급 안내는 바로 응답하지 말고, 공식 앱·웹에서 동일 공지가 있는지 확인하세요. 문자 내 링크는 터치하지 말고, 필요하면 포털에서 기관명을 직접 검색해 접속합니다.

계정·단말 보안

• 대표자 명의 주요 서비스(카드사, 은행, 간편결제, 배달앱 가맹관리) 비밀번호 전부 교체
• 2단계 인증 미사용 계정 점검, 백업 전화번호·보조 메일 최신화
• POS·카드단말 펌웨어 업데이트, 원격접속(TeamViewer 등) 사용 시 비활성화

알림과 기록

• 결제 취소·입금·승인 알림을 세분화해 작은 이상 신호도 놓치지 않기
• 의심 연락의 번호·시간·내용을 기록해 두고, 동일 패턴 반복 시 사업자 커뮤니티에 공유

업계 파급과 재발 방지: ‘모집’ 현장을 바꾸지 않으면 반복된다

이번 사안의 뿌리는 ‘모집’과 ‘영업’의 현장 관행에 있습니다. 계약 전환·가맹 확대 경쟁이 치열할수록, 데이터 접근 권한과 보호 장치는 구조적으로 취약해집니다. 업계 전반의 점검은 피할 수 없고, 일부 관행은 제도적으로 금지 또는 강한 통제로 전환될 가능성이 큽니다.

실효성 있는 변화는 다음과 같은 방향에서 가능합니다.

• 모집채널 분리: 내부 본사/지점과 외부 대행의 데이터 접근을 기술적으로 절연
• 제로 트러스트: 네트워크·디바이스·사용자 단위의 지속적 검증과 상황별 권한 상향식 승인
• 행위 기반 탐지: 대량 조회·반복 캡처·출력 패턴을 모델링해 사람 대신 시스템이 먼저 감지
• 감사 실명제: 민감 데이터 조회 사유와 승인자를 기록하고 월간 리포트로 경영진에 직보

무엇보다, 경영진 KPI에 ‘정보보호 성과’를 반영해야 현장까지 메시지가 내려갑니다. 비용으로만 보던 보안이 ‘영업력과 신뢰’의 기반이라는 인식 전환이 필요합니다.

정리: 이번 사건에서 배워야 할 것과 지금 할 일

이번 유출은 규모·기간·통지 과정에서 여러 과제가 드러난 사건입니다. 당국은 현장검사와 업권 점검을 통해 제도적 보완을 추진하고 있고, 회사도 권한 축소·이상탐지 강화·출력·촬영 추적 시스템 도입 등 보완책을 발표했습니다.

가맹점주와 소상공인은 스미싱·사칭 영업 차단, 계정 보안 강화, 콜백 습관화, 내부 직원 교육 재정비 등 즉시 실행 가능한 조치부터 시작하세요. 전화번호 단독 유출이라도 다른 정보와 얽히면 위험은 높아집니다. 작은 이상 신호를 기록하고, 공식 채널에서만 확인하는 습관이 가장 강력한 방어가 됩니다.

이 글은 공개된 사실관계를 바탕으로 핵심 쟁점과 실무적 대응 방법을 정리한 분석입니다. 과장 없이 확인 가능한 내용 중심으로 구성했습니다.