신한카드가 자사 가맹점주 개인정보가 유출됐다는 사실을 확인하고도 당사자에게는 20일 가까이 늦게 통지해 내부 통제가 제대로 이뤄지지 않고 있다는 지적이 나온다. 개인정보보호법상 개인정보가 유출되면 72시간 내 피해자에게 유출 사실을 알려야 하고, 이를 어기면 과태료가 부과된다.
24일 업계에 따르면 신한카드는 23일 오후 2시부터 개인정보 유출 피해자들에게 문자메시지를 전송해 유출 사실을 통지했다. 신한카드는 데이터 분석 작업과 유출 경위 파악이 마무리된 지난 5일 금융감독원에 관련 사실을 보고했으나 당사자에게는 18일 뒤에야 알린 것이다.
신한카드는 직원 12명이 2022년 3월부터 올해 5월까지 내부 시스템에 접속해 가맹점 대표의 이름, 휴대전화 번호 등 정보를 탈취한 뒤 카드 모집인에게 넘겨 영업을 지시했다고 전날 밝혔다.
개인정보보호법 시행령에 따르면, 신한카드와 같은 개인정보처리자는 개인정보가 유출됐음을 알았을 때 72시간 내에 피해자(정보주체)에게 유출된 개인정보와 유출 시점·경위 등을 알려야 한다. 유출된 개인정보 종류와 유출 시점·경위를 확인하지 못한 경우에도 개인정보 유출 사실과 당시 확인된 내용 등을 통지해야 한다. 이를 위반하면 3000만원 이하의 과태료가 부과된다.
신한카드는 개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)에도 전날에야 유출을 신고했다. 개인정보보호법 시행령에 따르면, 개인정보 유출 시 구체적인 내용을 파악하지 못해도 72시간 내 개보위 등에 신고하고 추가 확인된 내용은 확인되는 즉시 신고하도록 돼 있다. 이를 지키지 않아도 3000만원 이하의 과태료가 부과된다.
신한카드는 개인정보 유출을 확인한 시점이 전날이라고 주장한다. 신한카드 관계자는 "1차 파악(지난 5일) 당시 유출이 됐는지는 불확실한 상태였다. 지난 5일 이후 지속적인 내부 조사를 진행했고 23일 유출을 인지해 즉시 신고했다"고 했다.
신한카드 직원이 빼돌린 정보는 가맹점 대표의 휴대전화 번호·성명·생년월일·성별 등 19만2088건으로 ▲휴대전화 번호 18만1585건 ▲휴대전화 번호+성명 8120건 ▲휴대전화 번호+성명+생년월일+성별 2310건 ▲휴대전화 번호+성명+생년월일 73건이다.
유출된 19만2088건 중 94%(18만1585건)는 휴대전화 번호만 유출돼 개인정보로 보기 어렵다는 의견도 있다. 개인정보는 개인을 알아볼 수 있는 정보를 말하는데, 휴대전화 번호는 다른 정보와 결합해 개인을 식별할 수 있어야 한다. 개보위는 이번에 유출된 휴대전화 번호가 개인정보인지 여부를 포함해 통지·신고 의무 위반 여부를 조사하고 있다.