[디지털정보위×민생경제위][성명] 가맹점주 개인정보 유출 신한카드 강력히 규탄한다!

2025-12-24

일반게시판

[디지털정보위×민생경제위][성명] 가맹점주 개인정보 유출 신한카드 강력히 규탄한다!

개인정보 유출이 일상이 된 대한민국 자율규제는 허상이다. 실패한 자율규제를 넘어 실효성 있는 예방체계를 마련하라

어제(23일) 언론보도에 따르면 신한카드 가맹점 대표들의 전화번호 등 개인정보 19만 건이 유출되었다. 신한카드는 주민등록번호 및 카드번호, 계좌번호 등 민감한 신용정보는 유출되지 않았으며 일반 고객 정보와도 무관하다고 일축하였지만, 이번 사안은 카드를 이용하는 고객이 아닌 가맹점 대표들의 개인정보자기결정권이 침해되었다는 점만으로도 여전히 심각한 개인정보 유출 사고이다. 우리 위원회들은 올해 대형 개인정보유출사고가 있었음에도 또 다시 대규모 개인정보 유출을 야기한 신한카드를 규탄하며, 다시 한 번 근본적인 예방조치를 마련할 것을 강력하게 요구한다. 이번 유출 사고는 공익제보자가 개인정보보호위원회에 지난 11월 관련 자료를 제출하며 수면 위로 떠올랐고, 유출 규모와 경위를 파악하여 오늘 대외적으로 보도되었다. 신한카드는 이번 사고를 내부 직원이 신규 카드 모집을 목적으로 개인정보를 목적 외로 활용한 ‘일탈행위’로 특정하였으며, 해당 정보가 외부로 추가 확산될 가능성도 낮다고 밝혔다. 그러나 어떤 직원의 ‘일탈행위’가 19만건이라는 개인정보 유출시킨다는 그 사실 자체로도 신한카드의 개인정보 관리 방식이나 그와 관련한 내부통제의 문제의 실상을 그대로 드러내는 것이며, 오히려 그러한 문제를 일부 직원의 탓으로만 돌리려는 것은 궁색한 변명으로 들릴 뿐이다. 게다가 올해 발생한 기업의 개인정보 유출 사고들에서는 초기에 밝혀진 피해 규모에 비해, 최종 피해 규모가 수배에서 많게는 수십 배에 이르는 경우가 반복되어 왔다. 이러한 전례를 고려할 때 현 시점에서 실질적인 유출 규모를 단정하기는 매우 이르며, 신한카드는 그 피해 규모를 축소하는 것에 연연하지 말고 19만 여건의 정보 유출 자체가 이미 심각한 피해라는 사실을 견지하여야 한다. 특히 이번 개인정보 유출 사태는 신한카드사에 정당한 수수료를 지급하고 있는 수많은 가맹점 대표자의 개인정보가 유출되었다는 점에서 중소상공인의 권익을 침해한다. 카드거래가 일상화되어 있는 현 사회에서 중소상공인들은 현실적으로 신용카드사의 가맹점이 되지 않을 수 없다. 신용카드사는 수수료를 차감하고 대금을 입금하기에 가맹점주들은 수수료를 한 푼도 빠짐없이 납부하게 된다. 신용카드사는 결제의 편의성을 제공하는 대가로 수수료를 받아 가맹점주와의 계약 관계를 유지하는 것인데, 신한카드는 이러한 계약관계에서 준수되어야 할 법령 및 약관을 위반함으로서 가맹점주들에 대한 개인정보 보호 의무를 저버리고 신뢰관계를 침해하였다. 그 결과 이번 사건의 피해자인 가맹점 대표자들은 자신의 개인정보와 거래정보가 보이스피싱 등의 범죄에 악용될지도 모른다는 두려움을 가지게 되었으며, 나아가 중소상공인들은 자영업에 필수적인 카드사와의 가맹계약 과정에서 더욱 불리한 위치에 놓이게 되었다. 언론의 내용대로 개인정보 유출 과정에서 ‘신규 카드 모집 목적’이라는 당초의 개인정보 수집 목적을 벗어난 활용까지 있었다면 이번 사안은 더욱 중대한 피해를 야기할 가능성이 높다. 개인정보보호법 제18조는 개인정보처리자의 개인정보 목적 외 이용을 엄격하게 금지하고 있으며, 이를 위반하여 개인정보를 이용하는 경우 징역 5년 이하의 징역 또는 5천만 원 이하의 벌금이라는 벌칙조항까지 두고있다. 신한카드는 개인정보처리자로서 개인정보보호법상 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자 등을 지휘 및 감독하고 교육할 의무를 갖고 있는 주체이다. 따라서 개인정보 목적 외 활용까지 나아간 심각한 사건에 대하여 직원 개인의 악의적인 일탈로 치부해서는 안되며, 신한카드가 그동안 개인정보취급자에 대한 관리를 적법하게 하였는지 철저한 조사가 이루어져야 한다. 나아가 카드사 내부 보안 시스템에 어떤 하자가 있었는지, 사전에 예방할 수 있는 절차는 없었는지, 공익제보자의 제보가 아닌 방법으로는 확인할 수 있는 경로가 미비하였는지 등 체계 전반의 문제를 검토하여야 한다. 올해 기업에 의한 대형 개인정보 유출 사고가 SK텔레콤, 롯데카드, 쿠팡에 이어 무려 네번째로 발생하였다. 대규모 개인정보 유출에 의하여 이를 악용한 피싱 사기 등 2차 피해까지 확산될 우려가 있어, 정보주체의 개인정보자기결정권 침해는 이제는 기업 개개별의 문제가 아닌 사회적·구조적 문제로 접근되어야 한다. 개인정보보호위원회의 과징금 부과, 분쟁조정안 제시 등 사후적 방법으로는 사실상 개인정보 보호를 위한 예방적 조치로서 그 역할을 다하지 못하고 있음을 우리는 경험하고 있다. 그동안 개인정보 관련 ‘자율 규제’가 허상이었다는 것을 전 국민이 매일 실감하고 있다. 대규모 개인정보 유출은 기업과 소비자 간의 문제를 넘어, 기업과 자영업자 간의 문제로까지 확장되며 정보 불균형과 권력관계에서 비롯된 근본적 문제임을 드러내고 있다. 이러한 구조적 문제를 해소하기 위해서는 개인정보보호법상 집단 손해배상 규정 마련 등 기업의 관리·보호 책임을 실질화하고 개인정보 유출 위반 이전 단계에서 작동하는 예방 체계가 반드시 구축되어야 한다. 개인정보보호법 제1조는 ‘개인정보의 처리 및 보호에 관한 사항을 정함으로써, 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다’고 명시하고 있다. 반복적인 유출 사고로 개인정보 침해가 ‘일상화’된 지금, 관계 당국은 개인정보보호법의 목적에 비추어 개인정보를 어떤 가치로 인식하고 어떠한 태도로 접근해야 하는지 다시 한 번 숙고해야 한다. 우리 위원회들은 이번 개인정보 유출을 야기한 신한카드에 대하여 책임있는 조치와 피해 배상을 요구하며, 개인정보 보호의 원칙이 실질적으로 구현될 때까지 책임있는 제도 개선과 이행을 끝까지 요구할 것이다.

2025. 12. 24.

민주사회를 위한 변호사모임 디지털정보위원회, 민생경제위원회