신한카드 19만 가맹점주 정보 유출 사태… 벌금 내고 징벌적 배상까지 갈까

"실적을 올리고 싶은 일부 직원의 과욕이 부른 개인적 일탈이다." 19만 명에 달하는 가맹점주들의 개인정보가 유출된 초유의 사태 앞에서 신한카드는 이렇게 해명했다. 카드 모집인에게 정보를 넘겨 영업 실적을 올리려던 내부 직원의 잘못이라는 것이다.

하지만 법조계의 시각은 싸늘하다. 과연 19만 건이라는 방대한 데이터가 뚫린 것을 두고 회사는 '직원 탓'만 하며 빠져나갈 수 있을까. 이번 사건의 법적 쟁점을 조목조목 뜯어봤다.

법원 "회사가 관리 책임져야"

우리 법은 직원이 업무와 관련해 사고를 쳤을 때 회사도 함께 책임을 지도록 규정하고 있다.

개인정보 보호법 제26조는 업무 위탁 과정에서 발생한 손해에 대해 수탁자를 직원으로 보며, 법원은 직원이 개인정보 보호법을 위반해 손해가 발생하면 회사도 사용자 책임을 져야 한다고 판시하고 있다. 즉, 직원의 일탈이라 하더라도 회사의 관리 감독 소홀이 전제되어 있다면 신한카드는 법적 책임에서 자유로울 수 없다.

더구나 유출된 규모가 19만 건에 달한다. 이는 단순한 개인의 실수를 넘어, 신한카드의 개인정보 접근 권한 관리나 내부 통제 시스템에 보완해야 할 구조적 문제가 있음을 시사한다. 법적으로는 개인정보 보호법 제29조에 따른 '안전조치의무'를 위반했을 가능성이 있다.

넘지 말아야 할 선... "마케팅 비동의" 정보까지 넘겼다

이번 사건에서 가장 치명적인 부분은 마케팅 동의를 하지 않은 고객의 정보까지 설계사에게 넘어갔다는 점이다. 이는 법적으로 명백한 불법 행위다.

개인정보 보호법 제17조는 정보주체의 동의가 있을 때만 제3자에게 정보를 제공할 수 있도록 엄격히 제한한다. 동의하지 않은 고객의 정보를 영업 목적으로 넘긴 행위는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있는 중범죄다.

단순한 실수로 정보가 샌 것이 아니라, 고의로 동의 없는 정보를 넘겼다는 사실이 확인될 경우 민사상 책임은 더욱 무거워진다. 법원은 이를 회사의 고의 또는 중대한 과실로 보아 피해액의 최대 5배까지 배상하게 하는 '징벌적 손해배상'을 인정할 수 있다.

정보 유출한 직원과 관리 소홀한 회사, 처벌 수위는

그렇다면 정보를 유출한 당사자와 신한카드는 어떤 처벌을 받게 될까.

먼저, 정보를 유출한 내부 직원은 형사처벌을 피하기 어려워 보인다. 업무상 알게 된 개인정보를 권한 없이 누설하거나 제공했기 때문에 5년 이하의 징역 또는 5천만 원 이하의 벌금형에 처해질 수 있다.

특히 19만 건이라는 대규모 유출과 마케팅 비동의 정보까지 포함된 점을 고려하면 법정 최고형에 가까운 처벌이 내려질 가능성도 있다. 당연히 회사 내부 규정에 따른 해고 등 중징계와 민사상 손해배상 책임도 뒤따를 것이다.

신한카드 역시 양벌규정에 따라 형사처벌 대상이 된다. 회사가 위반 행위를 방지하기 위해 상당한 주의와 감독을 게을리하지 않았다는 점을 입증하지 못하면, 직원과 함께 벌금형을 선고받게 된다.

신한카드 "신용정보 유출 없어... 피해 발생 시 보상할 것"

신한카드 측은 "주민등록번호나 카드번호, 계좌번호 같은 신용정보는 유출되지 않았다"며 "가맹점 대표자 외의 일반 고객 정보 유출도 없다"고 밝혔다. 아울러 "현재까지 확인된 피해는 없으나, 피해가 발생할 경우 적극적으로 보상에 나서겠다"고 약속했다.

신한카드는 홈페이지에 사과문을 게시하고 해당 점주들에게 개별 안내를 진행 중이며, 정보 유출 여부를 확인할 수 있는 조회 페이지도 운영하고 있다.