[서울=뉴시스]권안나 기자 = 국내 최대 카드사인 신한카드에서 3년에 걸쳐 임직원에 의한 대규모 개인정보 유출 사고가 발생했음에도 이를 감지하지 못해 내부통제 시스템의 실효성에 의문이 제기되고 있다.

27일 금융권에 따르면 신한카드는 최근 전라·충청권 일부 영업소 소속 직원이 2022년 3월부터 올해 5월까지 가맹점 대표자 약 19만명의 개인정보를 무단 유출한 사실을 확인했다. 해당 직원은 사내 시스템에 접속해 화면 이미지를 촬영하거나 수기로 기록하는 방식으로 정보를 빼돌린 것으로 조사됐다.

보안 전문가들은 내부 직원이 장기간에 걸쳐 개인정보를 반출한 정황을 고려할 때, 기업이 파악하지 못한 경로를 통한 추가 유출 가능성을 완전히 배제하기 어렵다고 지적한다.

신한카드 측은 이번 사고에 대해 "해킹 등 외부 침투로 인한 사고가 아니다"라며 "조사 결과 일부 내부 직원의 일탈로 확인된 만큼 유출된 정보가 추가로 외부에 확산될 가능성은 제한적"이라고 말했다.

그러나 이 같은 회사의 설명만으로는 2차 피해에 대한 우려를 불식시키기 어렵다는 지적이 나온다. 3년이라는 긴 시간 동안 19만건에 달하는 대규모 정보가 유출됐다는 점에서 2차, 3차 피해에 대한 우려가 제기되고 있다.

이 가운데 신한카드의 지난해 지속가능경영 보고서에 따르면 이 회사의 정보보호 투자는 최근 몇 년간 오히려 감소 추세를 보였다. IT(정보기술) 예산 대비 정보보호 예산 비중은 지난 2022년 10.8%에서 2023년 9.3%, 지난해 8.2%까지 하락했다.

임직원 대상 정보보호 교육 역시 부실했던 것으로 나타났다. 2023년 1만8270시간이었던 교육시간은 지난해 1만6023시간으로 1년 사이 약 12.3% 급감했다.

주목할 점은 신한카드가 금융당국의 정보보호 평가와 개인정보보호 분야 최고 권위의 국가 인증까지 보유한 기업이라는 점이다.

이 회사는 이 2021년 도입된 금융위원회·금융감독원 주관 정보보호 상시평가에서 59개 평가항목을 충족하며 2021년부터 2024년 4년을 연이어 최우수 등급을 유지해왔다. 이러한 평가 결과는 정기적으로 이사회에 보고됐고, 대외적으로 회사의 정보보호 역량을 입증하는 지표로 활용됐다.

신한카드가 획득한 개인정보보호통합인증(ISMS-P)도 기업의 정보관리 체계와 개인정보 보호 수준을 검증하는 국내 최고 수준의 국가 자격 인증제도다.

그러나 1500만 회원을 보유한 대형 금융사에서 내부 직원의 정보 무단 반출이 3년 이상 지속됐음에도 보안시스템이 전혀 작동하지 않았다는 점에서, 실질적인 내부통제의 부재를 드러냈다는 비판이 제기된다.
 
업계에서는 이번 사건을 계기로 카드사 전반의 내부통제 시스템 점검이 불가피할 것으로 내다보고 있다. 특히 형식적 평가를 넘어 실질적 보안 역량을 검증할 수 있는 새로운 평가체계 도입 논의가 가속화될 전망이다.

이기혁 중앙대학교 융합보안학과 교수는 "기업의 대표이사부터 말단 직원까지 보안에 대한 인식이 바뀌어야 한다"며 "산업과 사회적인 특성에 맞춰 종합적으로 판단하고 명확한 체계가 작동해야 할 것"이라고 말했다.


◎공감언론 뉴시스 mymmnr@newsis.com