[서울=뉴스핌] 이윤애 기자 = 신한카드에서 19만명의 가맹점주 개인정보가 무단으로 유출된 사건이 경찰의 정식 수사로 전환됐다. 지난해 롯데카드에 이어 또다시 대형 개인정보 유출 사고가 발생하면서 카드업계 전체가 '내부통제'라는 무거운 과제를 안은 채 새해를 맞았다.

[서울=뉴스핌] 이윤애 기자 = 이윤애 금융증권부 차장 2022.07.12 yunyun@newspim.com

롯데카드는 무려 8년간 특정 프로그램의 보안 패치를 누락해 해커의 침입을 허용했고, 신한카드는 일부 영업점 직원 12명이 3년 넘게 19만 건이 넘는 개인정보를 조회·촬영했음에도 감시 시스템이 작동하지 않았다. 단순한 직원의 일탈이 아니라 조직의 통제 체계가 구조적으로 마비돼 있었다는 점에서 더 큰 충격을 준다.

더욱이 2022년 우리카드에서 발생한 가맹점 대표자 개인정보 7만5000건 유출 사고와 구조적으로 유사하다는 점도 뼈아프다. 신한카드는 문제를 인지한 뒤에도 한 달 넘게 신고를 지연하며 '개인 일탈'이 아닌 '조직적 리스크 관리 실패'라는 비판에 직면했다.

사고 이후 신한카드와 롯데카드 모두 내부통제 재정비와 보안 투자 확대를 약속했지만, 시장의 시선은 냉담하다. 신한카드는 2024년 이사회 내 내부통제위원회를 신설하고 7차례 회의를 열었지만, 정작 내부 직원의 대규모 개인정보 유출을 막지 못했다. 형식은 있었으나 기능은 부재한 '보여주기식 통제'가 문제의 근원이라는 지적이 제기된다.

금융당국 역시 책임에서 자유롭지 않다. 두 카드사 모두 금융보안원으로부터 개인정보보호통합인증(ISMS-P)을 획득했다. ISMS-P는 국내 최고 수준의 정보보호 인증이지만, 롯데카드는 8년간 보안 취약점을 방치한 채 인증을 유지했다. 형식적인 서류 점검과 주기적 평가에 그치는 감독체계를 넘어, 현장 중심의 상시 점검과 경영진 책임을 강화해야 한다는 목소리가 커지고 있다.

업계의 부담은 신뢰 하락에 그치지 않는다. 우리카드는 2022년 발생한 개인정보 유출 사고로 지난해 134억원의 과징금을 부과받았다. 이번 사태와 관련해 롯데카드와 신한카드 역시 최소 수백억원에서 많게는 천억원 규모의 과징금이 불가피할 것으로 보인다. 수익성 악화로 어려움을 겪는 카드업계에 추가 과징금까지 더해지면 재무적 타격은 불가피하다. 내부통제 부실이 또 다른 위기로 번질 수 있다는 우려가 나온다. 

잇따른 정보 유출로 업계 안팎에서는 "다음 사고는 어디서 터질까"라는 체념이 퍼지고 있다. '개인정보'가 아닌 '공유정보'라는 자조 섞인 말까지 나올 정도다. 이런 불신의 확산은 결국 금융사의 신뢰 기반 자체를 흔들고 있다.

내부통제는 이제 선택이 아닌 생존의 문제다. 고객의 신뢰를 잃은 금융회사는 존재 이유를 잃는다. 카드업계가 올해를 진정한 변화의 원년으로 삼지 못한다면, '신뢰 리스크'는 곧 업권 전체를 뒤흔드는 위기로 되돌아올 것이다.

yunyun@newspim.com