134억 과징금에도…우리카드, 개인정보 보호 '제자리걸음'

HOME 금융 카드캐피탈

134억 과징금에도…우리카드, 개인정보 보호 '제자리걸음'

CISO 여전히 겸직 논란…내부통제 강화 시정명령 이행 '미흡' 지적

이 기사는 2025년 08월 20일 16시 11분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.

추천키워드

#우리카드 #진성원 #CISO #전우영 #개인정보보호법 #개인정보보호위원회 #고학수

실시간 속보 랭킹뉴스

[딜사이트 박관훈 기자] 우리카드가 개인정보보호법 위반으로 134억여원의 과징금을 부과받은 지 5개월이 지났지만, 내부통제 개선은 여전히 제자리걸음이라는 평가가 나온다. 정보보호최고책임자(CISO)가 겸직을 이어가는 등 시정명령 이행이 미흡하다는 지적 속에, 소비자 신뢰 훼손과 실적 부담이 동시에 부각되고 있다.

20일 여신금융업계에 따르면 우리카드는 지난 3월 개인정보보호위원회(개인정보위)로부터 신규 카드 발급 과정에서 가맹점주의 동의 없이 개인정보를 사용한 사실이 적발돼 134억5100만원의 과징금을 받았다. 개인정보위는 우리카드에 ▲개인정보 오·남용을 방지하기 위한 내부통제 강화 ▲접근권한 최소화 및 점검 등 안전조치의무 준수 ▲개인정보취급자에 대한 관리·감독 강화 등을 골자로 한 시정명령을 내렸다.

개인정보위에 따르면 우리카드 인천영업센터는 2022년 7월부터 2024년 4월까지 카드가맹점의 사업자등록번호를 이용해 가맹점주 최소 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다. 이를 통해 해당 가맹점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인한 후, 해당 정보를 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유했다.

특히 2023년 9월부터는 가맹점주의 개인정보 및 우리카드 보유 여부를 조회한 후 개인정보 파일로 생성했다. 2024년 1월 8일부터 4월 2일까지 1일 2회 이상, 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

관련기사 more

우리카드, 연체율 개선 지연…건전성 부담 계속 우리카드, 생성형 AI로 '디오퍼스 실버' 광고 제작 대손충당금 1조 돌파…이익 손실 부담 확대 HD현대오일뱅크, 불법 폐수 과징금 1761억

우리카드는 최소 20만7538명의 가맹점주의 정보를 조회해 이를 카드 모집인에게 전달했고 해당 정보는 신용카드 발급을 위한 마케팅에 활용됐다. 해당 내역의 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다.

개인정보위는 우리카드가 수집한 개인정보를 우리카드 발급 등 마케팅에 활용한 것에 대해 '개인정보 목적 외 이용·제공 제한 규정' 위반이라고 판단했다. 또 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것에 대해서도 '주민등록번호 처리의 제한 규정' 위반이라고 지적했다.

이번 조사에서 우리카드는 영업센터 직원 업무와 무관하게 고객 데이터베이스(DB) 접근권한을 부여해 가맹점주 정보를 조회할 수 있도록 한 것으로 드러났다. 심지어 영업센터에서 월 3000만건 이상의 대량 개인정보 조회·다운로드가 발생했음에도 이를 점검·조치하지 않은 것으로 확인됐다.

이와 관련해 개인정보위는 "접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로 밝혀졌다"며 "사실상 가맹점주나 신용카드 회원 정보를 조회·이용하는 것을 방치하고 있었다"고 지적했다.

우리카드의 이번 개인정보보호법 위반은 고객 신뢰 훼손은 물론 실적에도 악영향을 미쳤다. 실제로 135억원에 달하는 과징금 여파로 올해 상반기에 120억원의 영업외손실이 발생했고, 이로 인해 우리카드의 상반기 순이익은 전년 동기 대비 9.5% 감소한 760억원에 그쳤다.

금융업계 관계자는 "소비자 신뢰가 중요한 금융사로서의 개인정보 관련 사고는 이미지 훼손은 물론 실제 실적 악화로도 이어질 수 있는 등 중대한 사안"이라며 "특히 최근 금융권에서 개인정보 유출 사고가 잇따르면서 금융사 내부통제 강화를 요구하는 목소리가 한층 높아질 것으로 예상된다"고 말했다.

이처럼 사측에 심각한 피해를 입힌 보안 사고지만 이와 관련해 우리카드의 대응은 미온적이라는 지적이 나온다. 개인정보위의 시정명령에도 구체적인 개선책을 밝히지 못하고 있기 때문이다. 특히 우리카드의 정보보호최고책임자(CISO)는 사고 이후에도 여전히 다른 직책을 겸직하고 있는 것으로 확인됐다.

우리카드는 2024년부터 전우영 정보보호본부 상무대우가 CISO 직책을 맡고 있는데, CISO 외에도 다른 직책을 겸하고 있다는 지적이 나온다. CISO는 기업의 사이버 보안을 총괄하는 최고책임자다. 민감한 금융 정보를 다루는 카드사 특성상 고객정보 보호와 보안 정책 수립, 사고 대응 체계를 이끄는 CISO 독립성과 전문성이 확보돼야 한다고 지적이 나오는 이유다.

금융업계 관계자는 "CISO의 책임과 업무가 과도하게 집중될 경우 보안사고 발생 시 즉각적인 대응이 어려울 수 있다"며 "보안 시스템 구성, 개인정보 정책 수립, 현장 보안 실태 점검 등의 업무를 한 사람이 총괄하면 사고 대응 속도가 늦어지기 마련"이라고 우려했다.

이와 관련해 우리카드는 사고 재발 방지를 위해 내부통제를 더욱 강화하겠다는 입장이다. 우리카드 관계자는 "개인정보보호위원회의 시정명령에 대한 후속 조치 내용을 구체적으로 밝히기는 어렵지만 성실히 이행했다"며 "재발 방지를 위해 내부통제를 더욱 강화해 안전하고 신뢰할 수 있는 금융 서비스 제공을 위해 노력하겠다"고 말했다. 이어 "우리카드의 CISO는 현재 다른 직책도 겸직하고 있다"고 덧붙였다.

박관훈 기자 kwanhoon@dealsite.co.kr