 |
||
최근 금융감독원이 신한·삼성·현대카드가 모집인들에게 740만 고객 개인정보를 무단 열람하게 한 사실을 적발해 중징계 조치했다.
이 가운데 현대카드가 논란의 중심에 선다. 다른 카드사들과 달리 이 회사 정태영 부회장이 취임 이후 만 12년간 줄곧 고객정보보안을 어길 경우 “관용 없다“는 원칙을 대내외에 주창해 온 가운데 발생한 일이기 때문이다. 이에 따라 이 원칙에 흠집이 불가피해짐과 동시에 그 진정성에 의구심이 들 수밖에 없게 됐다.
◆ 현대카드, 제재수위 가장 높아
3개 카드사별로 고객 정보를 동의 없이 모집인에게 제공한 회원 수와 기간을 보면 우선 삼성카드는 2010년 1월부터 지난해 9월까지 회원 319만5463명을 제공했다. 신한카드는 2010년 12월부터 지난해 3월까지 219만4376명, 현대카드는 2011년 4월부터 지난해 6월까지 202만9876명의 고객정보를 고객 동의 없이 모집인에게 제공했다.
3개 카드사 중 제재수위가 가장 높은 곳은 현대카드다. 금감원은 법인과 관련해 삼성카드와 신한카드에겐 각각 기관경고와 600만 원의 과태료를 부과했다. 현대카드는 기관경고 외에과태료도 가장 많은 900만원, 이밖에 다른 2개사에 없는 경영유의 1건을 부과 받았다. 임직원 제재에서도 신한카드와 삼성카드는 임원에 대한 징계가 생략됐지만 현대카드 해당 임원 1명은 주의적 경고 조치를 받았다. 제재를 받은 전·현직 직원 수도 신한카드와 삼성카드는 각각 8명과 9명인 반면, 현대카드는 감봉 3월 3명, 견책 3명, 주의 3명, 견책과 주의 상당 각각 1명씩, 퇴직자 4명 등 총 15명이었다.
이에 대해 금감원 관계자는 “현대카드는 관여된 직원이 상대적으로 많았다”라며 “신한과 삼성은 조사대상 기간 중 카드 고객 신규 발급이후 4개월간 모집인에게 고객정보를 제공한 반면 현대카드는 이보다 많은 5개월간이었다는 점도 감안됐다”고 설명했다.
이들 카드사들은 고객회원 정보, 월별 신용카드 이용 금액 구간 등 신용정보를 조회할 수 있는 권한을 고객 동의 없이 모집인들에게 제공했다. 모집인 수당 체계가 가입 건수에서 카드 사용 실적으로 바뀌면서 모집인들은 공유한 고객정보를 통해 저 실적 고객에게 부당한 사은품 제공이나 전화를 걸어 카드 사용을 독려했다. 신용정보의 이용 및 보호에 관한 법률 제32조를 보면 신용 정보를 제공하고 이용하는 사람이 다른 사람에게 이를 제공하기 위해서는 고객에게 이용 목적을 알리고 동의를 받아야 한다. 3개 카드사들은 이를 어긴 것이다.
이들 카드사들이 금감원으로부터 모두 기관경고 제재를 받으면서 내년 신사업 전략에 비상이 켜졌다. 기관경고를 받으면 1년 동안 신사업 추진 제한과 다른 금융회사 출자가 금지된다. 이들 카드사들은 모두 금감원에 재심을 청구했다. 제재 수위가 과도하다는 이유에서다. 하지만 이번 제재 수위에 대해 금감원 안팎에선 지난해 1억여건 고객정보 유출 사고로 KB국민, 롯데, 농협 등 3개 카드사들에 대해 3개월 영업정지와 형평성을 고려했다는 해석이 우세하다. 3개월 영업정지를 받을 경우 3년간 신규 사업을 할 수 없다.
금융권에선 이번 재심에서 신한·삼성·현대카드의 제재수위가 변경될 가능성은 있어도 취소는 없을 것이란 전망이 우세하다.
◆ 청와대에서도 강조한 원칙 허울뿐이었나
 |
||
| ▲ 정태영 부회장 | ||
이번에 제재를 받은 카드사둘 중 현대카드는 고객정보보안 분야에서 혁신을 주도한다는 평가를 받아 온 곳이라는 점에서 논란이 거세다. 정몽구 현대자동차 그룹 회장 둘째 사위인 정태영 현대카드 부회장은 2003년부터 현대카드를 이끌고 있다. 정 부회장은 현대캐피탈과 현대커머셜 대표도 겸임하는 중이다.
정 부회장은 취임 이후 줄곧 고객정보보안, 협력업체와 거래 투명성, 성희롱 예방 등 이른 바 3대 무관용 정책(ZTP:Zero Tolerance Policy)을 천명해 왔다. 세 항목 중 하나라도 어기면 지위고하를 막론해 회사에서 나가게 하는 등 관용은 없다는 윤리경영 원칙이다. 현대카드에 따르면 이 정책이 국내 유수 기업들에게 윤리경영과 관련해 벤치마킹 됐을 정도다. 정 부회장은 각종 기업문화 전략 강연에 단골 연사로 나서 왔으며 2010년 청와대에서도 3대 무관용 정책을 역설했다.
특히 고객정보보안과 관련해 현대카드는 2003년 카드 신청서에 비밀번호 기재 과정에서 정보 유출을 막기 위해 ‘비밀번호 사후등록제’를 업계 최초로 시행했다. 또한 현대캐피탈과 함께 2008년 신용카드와 할부금융 업계 최초로 고객정보보호 부문에서 ISO 27001 인증을 획득했다. 2010년에는 카드 배송 시 고객 연락처 정보노출을 원천 차단하는 ‘가상 전화번호 시스템’도 도입했다. 보안에 관한 깐깐한 내부 규율도 화제였다. 현대카드·캐피탈은 모든 직원에 USB 사용권한을 제한하고 USB 복사는 정보보안실에서 대행해준다. 두 회사는 직원들이 인터넷에 회사 관련 글을 쓰거나 파일을 올리는 행위도 보안위반으로 규정한다.
하지만 이런 행보와 달리 2011년 현대캐피탈에서 외부 해킹을 통해 총 175만 고객 정보유출 사건이 터졌다. 퇴직자 ID를 제때 삭제하지 않은 안일한 실수에서 비롯돼 충분히 막을 수 있는 사건이었다. 3대 무관용 정책에 흠집을 남긴 사례였다. 당시 금융당국은 현대캐피탈에 ‘기관경고’, 정 부회장에게 ‘주의적 경고’ 조치했다.
자매회사 사태로 현대카드는 2012년부터 보안예산을 전체 예산 중 15% 이상으로 두 배 이상 비중을 늘렸고 별도의 보안 전용 사옥도 마련했다. 하지만 이번엔 현대카드에서 불법사례가 터졌다. 금융업계 일각에선 현대카드 제재에 대해 현대캐피탈 때처럼 해킹 등 일부 불가항력적 사유 없이 고의성이 짙다는 점에서 더 문제라는 지적도 나온다. 현대카드가 실적 향상을 위해 모집인들에게 고객 정보를 고의로 제공한 셈이기 때문이다.
현대카드 측은 “카드 신규가입시 마케팅 활용 동의 중 포괄적으로 적용하는 조항이 있다”며 “고객정보가 제공된 모집인사이트 운영을 중단한 상태”라고 설명했다.
한편, 현대카드가 퇴직자를 제외하고 금감원으로부터 제재조치를 받은 임·직원 12명에 대한 무관용 원칙을 적용할지 여부도 주목된다. 이에 대해 현대카드 관계자는 “이의신청을 통해 재심 절차가 진행 중이다. 원칙 적용 여부는 그 이후에 판단할 일이며 지금은 언급할 단계가 아니다”라고 주장했다.
장익창 기자 sanbada@bizhankook.com
