“성과가 나오면 보상이 따른다.”

카드업계의 이 단순한 공식이 결국 ‘보안 불감증’이라는 치명적 균열로 이어졌다. 신한카드(대표이사 박창훈)에서 발생한 대규모 가맹점주 정보 유출 사건은 한 기업의 일탈을 넘어, 실적 중심 영업 구조가 얼마나 취약한 내부통제를 낳는지를 여실히 드러내고 있다.

금융당국도 사태의 심각성을 인식했다. 금융위원회는 24일 신진창 사무처장 주재로 긴급 회의를 열고, 신한카드에 대한 현장검사와 함께 전 카드사를 대상으로 한 정보보호 점검에 착수했다. 신한카드가 개인정보보호위원회에 신고한 자체 조사 결과에 따르면, 2022년 3월부터 올해 5월까지 5개 영업소에서 약 19만2,088명의 가맹점주 정보가 유출된 것으로 파악됐다. 카드번호 등 핵심 금융정보 유출은 없다고 했지만, 정보 관리 체계 전반에 대한 불신을 지우기엔 부족하다.

문제의 본질은 ‘개인의 일탈’이 아닌 구조적 허점에 있다. 이번 사안은 과거 우리카드에서 발생한 대규모 정보유출 사건과 놀라울 정도로 닮아 있다. 당시에도 직원들이 데이터베이스(DB) 접근 권한이 제한되자, 화면을 사진으로 찍거나 수기로 옮기는 방식으로 정보를 빼냈다. 결국 134억 원이 넘는 과징금이 부과됐다. 시스템은 있었지만, 통제는 작동하지 않았다.

소규모 영업소 구조 역시 문제다. 가맹점 관리와 신규 영업을 동시에 담당하는 환경에서는 정보 접근 권한의 경계가 쉽게 무너진다. 특히 카드 모집인을 활용한 영업 구조는 성과 압박과 맞물려 ‘편법 유혹’을 키운다. 실제 개인정보위는 우리카드 제재 당시 “실적이 곧 성과급으로 이어지는 구조 자체가 문제”라고 지적한 바 있다.

보안 교육은 있었지만, 인식은 따라가지 못했다. 신한카드는 지속가능경영보고서를 통해 정보보호 교육을 실시하고 있다고 밝혔지만, 지난해 관련 교육 시간은 1만6,023시간으로 전년(1만8,720시간)보다 줄었다. 교육의 양보다 더 심각한 건 질이다. 내부에선 정보유출을 ‘범죄’가 아닌 ‘영업 수단’ 정도로 인식하는 분위기마저 감지된다. 이는 단순한 관리 소홀을 넘어 조직 문화의 문제다.

금융당국도 사안을 엄중하게 보고 있다. 금융위 관계자는 “유사 사례 재발 방지를 위해 카드업권 전반의 내부통제와 정보보호 체계를 점검할 것”이라고 밝혔다. 개인정보보호위원회 역시 정확한 유출 경위와 법 위반 여부를 조사 중이며, 경찰도 내사에 착수했다. 법조계에서는 집단소송 가능성까지 거론된다.

보안은 비용이 아니라 신뢰의 최소 조건이다. 실적 중심의 영업 관행이 통제 장치를 무력화시키고, 그 피해를 소비자에게 전가하는 구조가 반복된다면 금융사의 신뢰는 회복되기 어렵다. 특히 개인정보를 다루는 금융사는 ‘사고 이후의 대응’보다 ‘사고가 나지 않게 하는 구조’를 먼저 고민해야 한다.

신한카드 사태는 단일 기업의 문제가 아니다. 성과 중심 문화, 느슨한 내부통제, 형식적인 교육이 맞물릴 때 어떤 결과가 벌어지는지를 보여주는 경고다. 지금 필요한 것은 책임 회피가 아니라, 실적보다 신뢰를 우선하는 근본적 전환이다. 금융의 신뢰는 숫자가 아니라 시스템에서 만들어진다.

문채형 뉴스룸 국장