신한카드 19만명 개인정보 유출 사건··· 당신도 피해자일 수 있다

 

2025년 12월, 국내 최대 신용카드사 신한카드에서 약 19만 명의 개인정보가 유출되는 충격적인 사건이 발생했습니다.

더욱 놀라운 점은 외부 해킹이 아닌 내부 직원의 일탈이 원인이었다는 것입니다. 2022년 3월부터 올해 5월까지 무려 3년 이상 지속된 이번 사건은 신한카드의 내부통제 시스템이 얼마나 허술했는지를 적나라하게 보여줍니다.

정확히 무슨 일이 일어났나?

신한카드가 개인정보보호위원회에 공식 신고한 내용에 따르면, 총 192,088건의 개인정보가 유출됐습니다.

휴대전화 번호만 유출된 경우가 181,585건으로 가장 많았고, 휴대전화 번호와 성명이 함께 유출된 경우가 8,120건, 생년과 성별까지 포함된 경우가 2,310건이었습니다. 다행히 주민등록번호, 카드번호, 계좌번호 같은 금융정보는 유출되지 않았습니다.

유출 기간은 2022년 3월부터 2025년 5월까지 약 3년 2개월에 달하며, 신한카드의 특정 영업소에서 발생했습니다.

공익 제보자의 신고로 개인정보보호위원회가 조사를 시작하면서 뒤늦게 적발됐습니다.

내부 조사 결과, 신한카드 직원이 신규 카드 모집 영업을 위해 가맹점주들의 개인정보를 무단으로 빼돌린 것으로 밝혀졌습니다.

직원은 개인 영업 실적을 높이기 위해 사내 프로그램에서 사진 촬영이나 수기 작성 방식으로 정보를 유출했으며, 현재까지 외부 대가 수수나 추가 범죄로 이어진 정황은 확인되지 않았습니다.

2025년 금융권, 개인정보 유출 위기 심화

신한카드 사건은 빙산일각에 불과합니다.

2025년 금융권 전체가 정보 유출의 위기에 처해 있습니다.

올해만 SK텔레콤(2,696만 명), KT(22,227명), 롯데카드(296만 명), 쿠팡, 그리고 신한카드까지 연이어 대형 유출 사고가 터졌습니다.

금융감독원 자료에 따르면 금융권 해킹 침해사고는 가파른 증가 추세를 보이고 있습니다. 2020년 8건에서 2021년 5건으로 줄었다가 2023년 다시 5건으로 증가했고, 2025년 상반기만 해도 이미 4건이 발생했습니다.

이는 최근 5년간 연간 발생 건수 중 가장 많은 수준입니다.

왜 이렇게 심각한가? 내부통제 부실의 민낯

신한카드 사건이 유독 논란이 많은 이유는 기술적 보안 문제가 아니라 관리·감독의 실패이기 때문입니다.

신한카드는 ISMS-P 인증을 비롯한 각종 보안 표준을 준수하고 있었지만, 직원의 아날로그식 유출을 탐지하지 못했습니다.

이는 현장 보안 관리의 총체적 부실을 의미합니다.

더욱 심각한 부분은 신한카드가 이미 금융감독원으로부터 정보보호 시스템 부실 지적을 받았다는 점입니다.

해외법인 관리 미흡 2건, 정보보호 시스템 전반 부실 6건, 고객 정보 접근권한 미관리, 신용정보 보호 교육 미실시 등 다양한 경영유의사항을 받았음에도 불구하고 이런 사고가 발생했습니다.

경찰청 국가수사본부 사이버테러대응과는 12월 24일 경기북부경찰청에 입건 전 조사를 지시했습니다.

개인정보 유출 시 법적 처리는 어떻게?

개인정보보호법 제34조에 따라 기업은 개인정보 유출 발생 시 72시간 이내에 피해자에게 통지하고 개인정보보호위원회와 한국인터넷진흥원에 신고해야 합니다. 신한카드는 12월 23일 신고를 완료했습니다.

법적 처벌 규정도 엄격합니다. 업무상 알게 된 정보를 무단 유출한 직원은 5년 이하 징역 또는 5,000만 원 이하 벌금에 처해집니다.

영리 목적 정보 유출의 경우 10년 이하 징역 또는 1억 원 이하 벌금으로 가중됩니다. 기업의 관리 감독 태만에 대해서는 3,000만 원 이하 과징금이 부과되며, 2025년부터는 유출 신고 지연 시 최고 매출액의 3%까지 과징금이 부과될 수 있습니다.

내가 피해자라면? 즉시 실천해야 할 5가지

첫째, 신한카드 공식 공지나 개인정보보호위원회 웹사이트를 통해 피해 사실을 확인하세요.

신한카드는 피해자들에게 무료 신용 모니터링 서비스를 제공할 예정입니다.

둘째, 스팸과 피싱 전화에 주의하세요.

유출된 휴대폰 번호로 보이스피싱, 맞춤형 스피싱, 소액결제 사기가 증가할 수 있습니다. 모르는 번호는 차단하고, 수상한 전화는 직접 기관에 확인 후 응답하세요.

셋째, 신용카드 부정사용을 모니터링하세요.

신한카드뿐 아니라 타 금융사의 신용카드 사용 내역을 정기적으로 확인하고, 소액 무승인 결제, 신규 신용카드 신청 내역, 대출 신청 기록을 점검하세요.

넷째, 비밀번호와 인증서를 강화하세요.

중요 계정은 서로 다른 복잡한 비밀번호를 사용하고, OTP나 문자 인증 같은 2단계 인증을 필수로 활성화하세요.

다섯째, 피해 발생 시 즉시 신고하세요.

금융감독원(1332), 경찰청 사이버 신고(182), 개인정보보호위원회(1336)를 활용할 수 있습니다.

2025년 시행된 주요 정책과 향후 계획

2025년부터 개인정보보호법이 대폭 강화되었습니다. 개인정보를 해외로 이전할 때 사전 통보가 의무화되며 위반 시 과징금이 3배 부과됩니다. 기업은 CISO(최고정보보안책임자) 지정이 의무화되고, 연 2회 이상 외부 보안기관 점검을 받아야 합니다. 공공기관에는 제로트러스트 정책이 도입되며 민간으로 확산될 전망입니다.

신한카드 사건 이후 금융권은 접근권한 관리를 강화하고, 모든 개인정보 접근·조회 기록을 저장 및 정기 감사해야 합니다.

신용정보 보호 필수 교육 실시와 AI 이상탐지 시스템 도입도 필수입니다.

신한카드 가맹점주 19만 명 개인정보 유출 사건은 기업의 내부통제 문화와 정보보호에 대한 경각심이 얼마나 부족했는지를 보여주는 사례입니다. 기술적 보안만으로는 부족하며, 직원 교육과 접근권한 관리, 감시 시스템이 필수입니다. 외부 해킹보다 내부 직원의 일탈에 대비해야 하고, 개인도 자신의 정보 보호에 주의를 기울여야 합니다. 정기적으로 신용정보를 확인하고, 수상한 전화나 이메일에 주의하세요.