◆…사진=AI로 만든 이미지.
금융당국이 카드업계 개인정보 유출 사고에 대한 제재 수위를 끌어올리면서 업권 전반에 긴장감이 확산하고 있다.
롯데카드를 시작으로 우리카드, 신한카드에 대한 제재 절차가 가시화되면서 카드사들은 실적 악화보다 더 직접적인 충격이 될 수 있는 '영업정지' 가능성에 촉각을 곤두세우는 분위기다. 업계 안팎에서는 이번 조치가 개별 카드사 제재에 그치지 않고 카드업권 전반의 정보보호 투자 확대, 영업 전략 재편, 점유율 경쟁 구도 변화로까지 이어질 수 있다는 관측도 나온다.
13일 금융업계에 따르면 금융감독원은 개인정보 유출 사고를 일으킨 카드사들에 대한 제재 절차에 속도를 내고 있다. 가장 먼저 제재 수면 위로 올라온 곳은 롯데카드다.
롯데카드는 지난해 해킹 사고로 약 297만명의 고객정보가 유출됐고, 이 가운데 약 45만명은 주민등록번호까지 함께 유출된 것으로 파악됐다.
금감원은 최근 롯데카드에 영업정지 4.5개월과 과징금 50억원, 조좌진 전 대표 등에 대한 인적 제재 등을 포함한 제재안을 사전통지한 것으로 전해졌다.
금융권에서는 해킹 사고를 이유로 금융회사에 영업정지 수준의 중징계가 검토되는 것은 이례적이라는 평가가 나온다.
롯데카드 제재가 마무리되면 다음 순서는 우리카드가 될 가능성이 크다. 우리카드에서는 2024년 1월부터 4월까지 인천영업센터를 중심으로 가맹점 대표자 약 7만5000명의 개인정보가 카드모집인에게 전달돼 마케팅에 무단 활용된 사실이 드러났다.
이 사건으로 우리카드는 이미 개인정보보호위원회로부터 지난해 3월 134억5100만원의 과징금을 부과받았다. 현재 금감원은 신용정보법 위반 여부를 중심으로 제재 수위를 검토 중이며, 관련 현장검사는 마무리된 상태로 알려졌다.
신한카드도 후속 제재 대상에 오를 전망이다. 신한카드에서는 2022년 3월부터 지난해 5월까지 가맹점주의 휴대전화번호와 사업자번호 등 약 19만2000건의 개인정보가 유출된 것으로 파악됐다.
신한카드는 지난해 12월 해당 사실을 개인정보보호위원회에 신고했고, 이후 금감원은 현장검사에 착수해 올해 2월 초 점검을 마무리했다. 내부 직원이 신규 카드 모집 과정에서 정보를 외부로 유출한 정황이 확인된 만큼, 내부통제 미흡 여부가 핵심 쟁점이 될 것으로 보인다.
카드업계가 민감하게 받아들이는 부분은 과징금보다 영업정지 여부다. 과징금은 일회성 비용 부담으로 반영할 수 있지만, 영업정지는 신규 회원 모집과 카드론, 현금서비스 등 핵심 부문의 영업 제한으로 직결될 수 있기 때문이다.
2014년 대규모 카드정보 유출 사태 당시 롯데카드와 KB국민카드, NH농협카드는 각각 3개월 일부 업무정지 처분을 받은 바 있다. 당시 롯데카드의 회원 수는 2013년 말 804만명에서 2014년 말 724만명으로 줄었다. 업계에서는 이번 롯데카드의 영업정지 4.5개월이 최종 확정될 경우 월 50억원 안팎, 총 200억원대 손실이 발생할 수 있을 것으로 추산하고 있다.
실제 카드업계는 제재가 단순한 행정처분을 넘어 시장점유율 변동을 촉발할 수 있다고 우려한다. 최근 카드사들은 신규 회원 유입만큼 해지 규모도 만만치 않아 영업정지로 회원 모집이 막힐 경우 충격이 더 크게 나타날 수 있기 때문이다.
롯데카드는 지난 2월 7만3000명의 신규 회원을 모집했지만 같은 기간 6만9000명이 해지해 실질 순증 규모가 크지 않았다. 우리카드와 신한카드 역시 신규 유치와 해지가 비슷한 수준으로 맞물리고 있어, 제재로 영업 동력이 약화되면 회원 기반과 시장 내 입지가 흔들릴 가능성이 있다.
문제는 제재가 예고된 시점의 업황 자체도 녹록지 않다는 점이다. 카드업계는 지난해 가맹점수수료율 인하 여파로 본업인 신용판매 부문의 성이 악화한 데다, 시장금리 상승에 따른 조달비용 부담까지 안고 있다.
전업 카드사 8곳의 지난해 당기순이익은 2조3602억원으로 전년 대비 8.9% 감소한 것으로 집계됐다. 가맹점수수료 감소폭만 4427억원에 달하는 상황에서 영업정지와 추가 정보보호 비용 부담까지 겹치면 성 방어가 한층 어려워질 수밖에 없다.
이에 카드사들도 서둘러 재발 방지 대책 마련에 나섰다. 롯데카드는 향후 5년간 총 1200억원 규모의 정보보호 투자 계획을 수립하고, 관련 예산 비중을 전체 IT 예산의 15%까지 확대하기로 했다.
신한카드는 올해 조직 개편 과정에서 개인정보보호부를 신설하고 정보 유출 추적 관리 시스템을 구축했다. 우리카드 역시 개인정보 조회와 반출 과정에서 이중 승인 절차를 도입하고, 성과지표에 보안 항목을 반영해 책임 경영을 강화하고 있다.