'몰래보고, 암호화 안하고' 신한·삼성카드 나란히 제재

새해 신한카드와 삼성카드가 고객정보를 제대로 관리하지 않아 나란히 감독당국의 제재를 받았다.

7일 금융감독원에 따르면, 신한카드 일부 직원은 지난 2013년 7월부터 두 달간 업무목적이 아닌 개인적으로 제3자에 대한 개인신용정보를 불법으로 조회했다.

또 신한카드는 내부적으로 이같은 사실을 확인했음에도 적절한 제재조치를 내리지 않았다. 문제 직원이 가족의 거래내역을 단순 조회한 것으로 간주해 서면경고로 조치하는 데 그친 것이다.

금감원은 신한카드가 제휴업체와 회원정보를 공유하는 과정에서 이를 허술하게 관리한 사실도 적발했다.

고객 신용정보 보호를 위해 카드사는 고객정보를 제공받는 제휴업체를 엄격히 제한해야 한다. 하지만 신한카드는 제휴업체에 대한 현장점검을 제대로 수행하지 않았다. 그 결과 탈회·해지고객이나 보관기간이 끝난 고객정보에 대한 관리가 미흡했다.

삼성카드는 부정사용방지시스템(FDS) 개선 프로젝트를 수행하면서 주민등록번호나 카드번호 등 이용자 정보를 암호화하지 않은 것으로 드러났다.

지난 2011년부터 1년간 삼성카드는 FDS 개선 프로젝트 테스트 과정에서 고객정보를 암호화하지 않고 날것 그대로 사용했다. 현행법상 테스트 과정이더라도 이용자 정보를 암호화해야 한다.

아울러 삼성카드는 고객정보에 접근하는 접속내역(로그기록)을 기록·관리하지 않았다. 카드사는 정보처리시스템의 가동기록을 1년 이상 보존해야 함에도 이를 어긴 것이다. 특히 삼성카드는 여러 직원이 관리자 계정(3개)을 공동으로 사용하면서 개인별 사용내역을 따로 관리하지 않았다.

지난해 카드 3사 정보유출 사태에 비춰봤을 때 삼성카드에서도 이같은 사고가 일어났을 가능성이 높았다는 얘기다.

국민카드와 농협카드, 롯데카드 모두 FDS 개발과정에서 회원정보를 암호화하지 않고 보안프로그램 설치나 관리자 권한 등을 제대로 관리·감독하지 고객정보가 빠져나갔다.

한편, 금감원은 지난 5일 날짜로 신한카드에 경영유의 1건, 개선조치 2건의 기관제재를 취했다. 삼성카드에는 개선조치 1건을 내렸다.