가맹점 사장 정보까지 털려, 보안 패러다임 전환을

신한카드 개인정보 19만건 유출
영업 현장까지 다층적 관리 시급

신한카드에서 가맹점 대표자의 개인정보 19만건이 유출된 사실이 드러났다. 2022년 3월부터 올해 5월까지 3년여에 걸쳐 최소 5개 영업소 직원 12명이 연루됐다고 한다. 휴대폰 번호 18만여건과 성명 및 생년월일이 포함된 정보까지 무차별 유출됐다.

이는 단순 정보유출 사건으로 넘길 게 아니다. 사실상 조직적 일탈 사건이다. 정보유출 목적과 방식은 더욱 혀를 내두르게 한다. 정보를 빼돌린 목적은 신규 카드 모집 실적을 올리기 위해서였다. 그런 개인적 욕심을 위해 모니터 화면을 카메라로 촬영해 설계사에게 전달하는 원시적 방법을 사용했다.

이번 사건은 정보유출 규모 면에서 보면 이전 사태보다 덜 중요하다고 볼 수 있다. 그러나 사건의 특성상 우리에게 주는 교훈은 명확하다. 올해 발생한 정보유출 사태들을 되돌아보면 외부 해킹, 내부자 범죄, 시스템 취약점 등 다양한 경로로 개인정보가 유출되고 있다. 쿠팡의 경우 내부자가 중국으로 정보를 빼돌렸는데, 신한카드는 영업 현장 단위에서 정보가 새어나갔다. 정보유출은 더 이상 중앙서버 해킹이나 외부 침투만의 문제가 아니라는 점을 이번 사태가 여실히 보여줬다. 유출 경로가 다층화·다변화되면서 기존의 중앙집중식 보안체계만으로는 더 이상 개인정보를 지킬 수 없게 됐다. 보안의 패러다임이 근본적으로 바뀌어야 할 시점이 된 것이다.

특히 신한카드 사례는 말단 영업 현장에서 보안 취약성이 크다는 점이 드러난 사건이다. 통상 보안을 강화하기 위해 중앙의 시스템 관리에 역점을 둔다. 그러나 중앙 시스템이 아무리 견고해도 수백, 수천개의 영업점과 수만명의 직원이 접근하는 정보를 완벽히 통제할 수는 없다. 더구나 실적 압박에 시달리는 현장 직원들이 손쉽게 정보에 접근해 유출할 수 있다는 점에서 구조적 허술함을 알 수 있다. 마케팅 동의도 받지 않은 정보를 영업현장 일선의 직원들이 자기 마음대로 사익을 위해 유출하는 일이 우리 사회에서 버젓이 벌어지고 있다.

수도 없이 정보보안 패러다임을 근본적으로 바꿔야 한다고 강조해왔다. 그러나 신한카드 건은 정보보안에 또 하나의 숙제를 안겼다고 본다. 접근권한 관리를 세분화해야 한다는 점이다. 업무상 필요한 최소의 정보만 조회할 수 있도록 하고, 조회 이력을 실시간으로 모니터링하는 시스템을 강화해야 한다.

기업들은 이런 정보보안을 강화하는 조치가 경영위축을 초래한다고 우려할 수 있다.

그러나 개인정보를 이토록 허술하게 관리하는 행태까지 경영의 자율권 영역으로 보장할 수 없다. 개인정보를 획득해 기업 이윤을 남기는 영업행위를 하면서 정보유출 사고로 발생하는 사회적 피해를 도외시해서 되겠는가. 사태의 심각성을 인지한 금융당국이 전 카드업권으로 점검을 확대하기로 했다. 정부 당국은 이번 사건을 계기로 중앙시스템 외에 말단 영업점까지 포괄하는 입체적인 점검에 속도를 내기 바란다.