알파경제 - [현장] ′박창훈호′ 신한카드…19만 건 개인정보 유출까지 이중고

내부 직원이 스마트폰으로…3년간 19만 건 유출
'디지털 전환' 외치다 기본 잃은 박창훈호

박창훈 신한카드 사장. (사진=신한카드)

 

[알파경제=이준현 기자] 국내 카드업계 부동의 1위였던 신한카드가 수익성 추락과 대규모 개인정보 유출이라는 이중 위기에 직면했다.

지난해 4분기부터 삼성카드에 순이익 1위 자리를 내준 데 이어, 내부 직원이 3년 넘게 가맹점주 19만 명의 개인정보를 유출한 사실이 드러나며 박창훈 사장의 위기관리 능력에 대한 비판이 고조되고 있다.

◇ 3년간 방치된 19만 건 정보 유출…'원시적 방법'에 뚫렸다

29일 금융업계에 따르면 신한카드는 지난 23일 가맹점 대표자 19만2088명의 개인정보가 유출됐다고 개인정보보호위원회에 신고했다.

유출 기간은 2022년 3월부터 2025년 5월까지 3년 2개월에 달한다.

특히 논란이 되는 지점은 유출 방식이다. 수천억 원을 투입한 최첨단 보안 시스템을 갖춘 신한카드에서 직원들이 사무실 모니터 화면에 띄워진 고객 정보를 자신의 스마트폰 카메라로 촬영해 외부로 빼돌렸다. 해킹이 아닌 가장 원시적인 방법 앞에 모든 보안 장치가 무용지물이었던 셈이다.

유출된 정보는 휴대전화번호 18만1585건, 휴대전화번호와 성명 8120건, 생년월일과 성별이 포함된 정보 2310건 등이다. 주민등록번호나 카드번호 같은 민감 정보는 포함되지 않았지만, 유출된 정보만으로도 보이스피싱이나 스팸 광고 등 2차 피해 발생 우려가 큰 상황이다.

신한카드 영업소 직원 12명이 신규 카드 모집 실적을 올리려고 가맹점 정보를 빼낸 것으로 확인됐다. 과도한 실적 압박과 성과 지상주의가 3년 넘게 내부 통제 부실을 키운 토양이 됐다는 지적이다.

논란은 '늑장 신고' 의혹으로도 번지고 있다. 신한카드는 지난달 12일 개인정보위로부터 공익 제보 사실을 통보받고도 40여 일이 지난 23일에야 금융당국과 고객에게 사실을 알렸다.

신한카드 측은 "비정형 데이터 분석에 시간이 걸렸다"고 해명했지만, 개인정보보호법상 72시간 이내 신고 의무를 어긴 위법 소지가 크다는게 업계 중론이다.

일각에서는 매출액의 3%에 달하는 과징금이 부과되는 '유출' 판정을 피하고, 제재 수위가 낮은 단순 '목적 외 이용'으로 축소하기 위해 시간을 끈 것 아니냐는 의혹도 제기된다.
 

신한카드. (사진=연합뉴스)

◇ 삼성카드에 내준 1위 자리…고위험 대출 중독이 부른 악순환

신한카드의 위기는 수익성 지표에서도 뚜렷하다.

올해 3분기 누적 순이익은 3804억 원으로 삼성카드(4973억 원)보다 1169억 원 뒤처졌다. 전년 동기 대비 22.8% 급감한 수치다.

2007년 이후 수성해 온 '순이익 1위' 타이틀은 이미 지난해 4분기에 내줬다. 3분기까지만 해도 신한카드가 앞섰으나 4분기 실적에서 삼성카드가 1331억 원을 기록한 반면 신한카드는 194억 원에 그치며 순위가 뒤집혔다.

실적 악화의 주된 원인으로는 고위험 대출 자산이 꼽힌다. 신한카드는 대출 자산 비중을 8.52%로 유지하며 외형 확장을 꾀했으나, 고금리와 경기 침체가 맞물리며 이 전략은 부메랑이 되어 돌아왔다. 9월 말 기준 연체율은 1.37%로 삼성카드(0.93%)는 물론 KB국민카드(1.21%)보다도 높은 수준이다.

이로 인해 신한카드는 올해 3분기까지 누적 6698억 원을 대손충당금으로 쌓아야 했다. 반면 삼성카드는 대출 자산 비중을 0.19%로 대폭 낮추고 신용판매 중심의 내실 경영을 통해 누적 대손충당금을 5519억 원으로 억제했다.

수익성 악화에 신한카드는 올해 두 차례 희망퇴직을 단행했다. 그러나 이는 사후약방문식 처방이라는 비판과 함께 조직 사기 저하라는 악순환이 우려되고 있다.
 

신한카드가 가맹점 대표자의 휴대전화번호를 포함해 약 19만건의 개인정보가 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 밝힌 23일 서울 중구 을지로 신한카드 본사 모습. (사진=연합뉴스)

◇ '디지털 전환' 외친 박창훈호…현실은 내부통제 뒷전

박창훈 사장은 올해 1월 취임하며 "변화와 혁신을 통해 신한카드를 라이프 앤 파이낸스 플랫폼 기업으로 재창조하겠다"고 선언했다.

그러나 경영진의 역량이 앱 개발과 플랫폼 확장에 집중된 사이, 금융업의 본질인 리스크 관리와 내부통제 시스템에는 구멍이 뚫렸다는 평가다.

신한카드의 정보보호 투자도 오히려 뒷걸음질 쳤다. 임직원 대상 정보보호 교육 시간은 2023년 1만8720시간에서 2024년 1만6023시간으로 약 12% 감소했다. IT 예산 대비 정보보호 예산 비중도 8.2%로 3년 만에 최저치를 기록했다.

화려한 플랫폼 UI 뒤편에 보안 의식 부재와 감시의 사각지대가 방치되어 있었던 것이다.

금융감독원은 신한카드에 대한 긴급 현장 검사에 착수했으며, "최고경영자까지 책임을 물을 소지가 있다"는 입장이다.

법적 공방도 예고돼 있다. 로피드 법률사무소는 피해 가맹점주를 대리해 집단 소송인단 모집에 나섰다. 1인당 위자료 30만 원을 청구할 경우 기본 배상액만 570억 원에 달한다. 여기에 징벌적 손해배상제도가 적용되면 배상액은 최대 3배까지 늘어날 수 있다.

더욱이 개정된 개인정보보호법은 고의 또는 중대 과실로 인한 유출 시 전체 매출액의 3%까지 과징금을 부과할 수 있도록 규정한다. 신한카드의 최근 3년 평균 영업수익 약 5조4000억 원을 기준으로 하면 최대 1600억 원에 달하는 과징금이 예상된다. 

 

알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)