[서울=뉴스핌] 이윤애 기자 = 신한카드가 자사 가맹점주 개인정보 유출 사실을 인지하고도 피해자 통지를 20일 가까이 늦게 한 것으로 드러나면서 3년 넘게 이어진 내부자 유출을 감지하지 못한 데 이어 인지 후에도 통지가 지연되는 등 사후 대응마저 미흡했다는 지적이 나온다.

◆ 3년간 내부자 유출 방치…사후 인지까지 한 달

26일 금융권에 따르면 신한카드는 지난 5일 금융감독원에 개인정보 유출 가능성을 보고했으나, 피해자들에게는 18일이 지난 23일부터 문자메시지를 통해 통지를 시작했다. 개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)에도 같은 날 신고했다.

앞서 지난달 12일 개보위가 공익제보를 근거로 소명을 요청하면서 신한카드는 유출 사실을 처음 인지했다. 이를 기준으로 보면 약 6주가 지나서야 피해자 통지가 이뤄진 셈이다.

이번 유출은 최소 5개 영업점 소속 직원 12명이 2022년부터 올해 5월까지 내부 시스템에 접속해 가맹점 대표의 이름과 휴대전화 번호 등 개인정보를 빼내 카드 모집인에게 전달한 것이 발단이었다.

일선 영업 현장에서 3년간 집단 유출이 이어지는 동안 회사가 이를 전혀 감지하지 못했다는 점에서, 내부통제에 구멍이 뚫린 수준을 넘어 시스템이 사실상 작동하지 않았다는 비판이 제기된다.

◆ '72시간 내 통지'는 피해자 보호 위한 최소한의 장치

개인정보보호법 시행령은 개인정보처리자가 유출 사실을 '인지하게 된 때부터 72시간 이내' 피해자(정보주체)에게 ▲유출된 개인정보 항목 ▲유출 시점·경위 등을 통지하도록 규정한다. 이는 피해자가 비밀번호 변경, 계정 정지, 결제 차단 등 즉각적인 조치를 취해 2차 피해를 예방할 수 있도록 한 최소한의 보호 장치다.

또한 1000명 이상의 개인정보 또는 민감정보가 유출된 경우에는 같은 72시간 내에 개보위와 KISA에 신고해야 하는 별도의 의무도 있다. 즉, '피해자 통지'와 '당국 신고'는 별개의 규정이지만, 이번 사안에서는 두 절차 모두 시점이 늦어진 것으로 보인다.

신한카드 측은 "제보 자료의 양과 불규칙성 때문에 내부 데이터와 대조하는 데 상당한 시간이 걸렸다"고 해명했지만, 유출 원인을 완전히 파악하지 못했더라도 우선 통지 후 보완하도록 한 법 취지를 고려하면 설득력이 떨어진다는 지적이다.

현행법상 통지나 신고 의무를 위반할 경우 최대 3000만원의 과태료가 부과된다. 이는 피해자 통지 및 당국 신고 지연에 대한 행정 제재로, 보안 관리 미비나 접근통제 실패 등 유출 행위 자체에는 별도의 과징금 제도가 적용된다.

지난 4월 발생한 SK텔레콤 개인정보 유출 사건에서도 개보위는 보안 관리 미비에 대해 1347억9100만원의 과징금을 부과했지만, 이용자 통지 지연에는 960만원 과태료만 부과했다. 과징금은 대규모 유출 행위에 대한 제재, 과태료는 사후 통지 지연에 대한 제재로 성격이 다르다. 그럼에도 통지·신고 지연의 처벌 강도가 낮은 탓에 '솜방망이 제재'라는 인식이 고착돼 있다는 점은 한계로 지적된다.

이 같은 논란 속에 최근 국회 정무위원회가 개인정보보호법 개정안을 통과시켜 대규모 유출에 대한 제재를 강화했다.

정무위는 지난 17일 전체회의에서 중대한 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 개정안을 의결했다. 기존은 3%였다.

또한 개인정보처리자가 1000명 이상 개인정보 또는 민감정보 유출 사실을 인지한 경우 72시간 내 개보위에 신고하도록 한 시행령 조항을 법률로 상향해 '대통령령으로 정한다'고 명시했다.

정치권 한 관계자는 "일부 기업이 '인지 후 72시간 이내 신고' 규정을 악용해 유출 사실을 알고도 신고를 늦추는 관행을 막기 위한 조치"라며 "대통령령을 통해 인지 시점의 판단 기준과 천재지변·긴급조치 등 예외 상황을 명확히 규정하게 될 것"이라고 설명했다.
 

yunyun@newspim.com