2025.12.23 신한카드 내부자 개인정보유출 요약

1. 개요

• 2025년 12월 23일, 국내 최대 신용카드사인 신한카드는 가맹점 대표자 약 19만 2,088명의 개인정보가 유출된 사실을 공식 발표하고 개인정보보호위원회에 신고했습니다. 
• 본 사건은 해킹이나 외부 침투와 같은 사이버 공격이 아니라, 신한카드 직원들의 조직적인 불법 행위로 인한 내부 정보 유출 사건입니다.

 

2. 피해범위

 - 피해 대상자: 신한카드 가맹점 대표자 약 19만 2,088명

 - 영향 범위: 2022년 3월부터 2025년 5월까지 약 3년 2개월 동안 신규 가입한 가맹점주들

 - 포함 영업소: 5개 영업소

 - 신한카드는 일반 신용카드 고객과는 관련이 없다는 점을 명확히 했으며, 본 사건의 피해는 순전히 가맹점 사업자들로 한정됩니다.

 

3. 유출항목

 - 유출된 개인정보는 다음과 같이 분류됩니다.

유출 항목 구성	건수	상세
휴대전화번호만	181,585건	가장 많은 유출 형태
휴대전화번호 + 성명	8,120건	-
휴대전화번호 + 성명 + 생년 + 성별	2,310건	-
휴대전화번호 + 성명 + 생년월일	73건	민감 정보 포함
총계	192,088건	-

 

 - 주요 특징

• 유출된 정보 중 주민등록번호, 카드번호, 계좌번호 등 금융신용정보는 포함되지 않았습니다.
• 이는 제한적 피해로 볼 수 있으나, 휴대전화번호가 광범위하게 노출된 것 자체가 2차 피해의 위험 요소입니다.

 

4. 원인

 - 직원 규모 및 조직 구조

• 5개 영업소 소속 12명의 직원이 1명의 설계사와 함께 조직적으로 개인정보를 유출했습니다.

 - 목적

• 신규 카드 모집 영업 실적을 증대하고 수수료를 높이기 위함이었습니다.
• 가맹점주를 대상으로 무리한 카드 영업을 추진하는 과정에서 개인정보를 활용했습니다.

 - 구체적 수법

  > 신한카드는 내부 보안 시스템의 로그 기록을 남기지 않기 위해 극도로 원시적인 아날로그 방식을 악용했습니다.

• 조회된 개인정보를 스마트폰으로 촬영하거나
• 종이에 직접 필기하여 기록
• 무선으로 이를 공유하는 방식

  > 이들은 하루 평균 약 162건의 정보를 무단으로 유출했으며, 3년 이상 적발되지 않았습니다.
​

 - 적발 경위

• 2025년 11월 12일, 공익신고자가 개인정보보호위원회에 가맹점 대표자 정보 유출 증거를 신고하면서 조사가 시작되었습니다.
• 신한카드는 그 다음날부터 약 3주간의 내부 조사를 실시한 후 12월 23일 정식으로 신고했습니다.

 

5. 대응

 - 즉시 대응 조치

• 유출 인지 즉시 추가 유출 차단
• 관련 내부 프로세스 점검 완료
• 해당 직원 12명 업무 배제

 - 공시 및 고객 안내

• 홈페이지에 사과문 게시
• 가맹점 대표자의 정보 포함 여부를 확인할 수 있는 전용 조회 페이지 운영
• 해당 가맹점 대표자에게 개별적으로 정보 유출 사실 안내

 - 법적 조치

• 관련 직원 형사 고발 등 법적 조치 검토 중
• 경찰청 국가수사본부가 내사 지시, 경기북부경찰청 사이버수사과 수사 예정
• 개인정보보호위원회에서 유출 경위, 규모, 항목 및 개인정보보호법 위반 여부 조사 중

 - 보상 계획

• 신한카드는 현재까지 확인된 유출로 인한 직접적인 피해는 없다고 밝혔으나, 향후 피해가 발생할 경우 적극적으로 신속한 보상에 나서겠다고 약속했습니다.

 - 박창현 신한카드 대표는 "이번 사고의 유출 원인과 경위를 철저히 규명해 관련 직원을 엄중히 문책하고, 내·외부 보안 체계를 근본적으로 재점검 및 강화할 것"이라고 밝혔습니다.

 

6. 문제점

- 총체적인 내부 통제 부실

• 3년 이상 지속된 조직적 정보 유출을 적발하지 못한 것은 신한카드의 내부 감시 시스템이 근본적으로 작동하지 않았음을 의미합니다. 
• 특히 5개 영업소의 12명 직원이 체계적으로 정보를 반복 유출했음에도 불구하고, 공익신고가 없었다면 계속 적발되지 않았을 가능성이 높습니다.

 - 기술적 탐지의 한계

• 아주대 곽진 사이버보안학과 교수는 "시스템 접속 권한을 가진 직원이 사진 촬영 등 물리적 수법으로 정보를 유출할 경우 기술적 탐지에 한계가 있다"고 지적했습니다. 
• 모니터 촬영이나 수기 기록 같은 아날로그 방식은 디지털 로그를 남기지 않기 때문에, 기존의 DLP(Data Loss Prevention)나 접근 통제 시스템으로 적발하기 어렵습니다.

 - 심각한 2차 피해 위험

  > 가맹점 대표자들은 업무 특성상 알려지지 않은 전화번호라도 받을 수밖에 없습니다. 

  > 범죄자들이 유출된 휴대전화번호를 악용할 경우 다음과 같은 피해 가능성이 높습니다.

• 정밀형 보이스피싱 공격("더 좋은 조건으로 카드 가입을 시켜주겠다" 등의 기망)
• 기존 유출 정보와의 매핑을 통한 카드 정보나 통신사 정보 조회
• 사기, 명의도용 등의 범죄

 - 금융권 전반의 보안 문제 악화

• 2025년 신한카드 사건은 그 해 발생한 개인정보 유출 사고의 일환입니다. 
• SK텔레콤(2696만명), KT(2만 2천명), 롯데카드(296만명), 쿠팡(3370만명) 등이 대규모 유출 사고를 겪었습니다. 
• 금융감독원 자료에 따르면 2025년 금융권에서 발생한 해킹 사고는 신한카드 건을 포함해 총 9건으로, 최근 5년 중 최고치를 기록했습니다.

 - 영업 실적 압박이 만든 법규 위반 문화

• 조직적 정보 유출은 단순한 개별 직원의 일탈이 아닌, 영업소 실적과 수수료 증대 시스템에서 비롯된 구조적 문제입니다. 
• 이는 회사 차원의 감시와 준법 문화 구축 실패를 의미합니다.

 

 - 참고

• 현재까지 제3자에 의한 정보 판매 정황이나 외부 해킹 흔적은 확인되지 않았으나, 유출 정보의 광범위한 분포와 휴대전화번호의 노출 특성상 사기 집단의 표적이 될 가능성이 상당합니다.
• 관계 당국의 철저한 수사와 신한카드의 보안 체계 근본적 개선이 시급한 상황입니다.
  ​