
□ 개요
2022년 3월부터 2025년 5월까지 신한카드 내부 직원이 가맹점 관리 시스템을 통해 가맹점 대표자 개인정보를 조회·반출해 신규 카드 모집 영업에 활용한 정황이 확인됐다. 해당 사실은 공익 제보를 통해 드러났으며, 개인정보보호위원회의 자료 제출 요청 이후 약 3주간의 내부 조사 끝에 유출 규모와 항목이 파악됐다. 신한카드는 외부 해킹이나 시스템 침해는 없었다고 밝히며, 내부 통제 미흡에 따른 사고임을 인정했다.
□ 사고내용 요약
1. 회사명 : 신한카드
2. 사고유형 : 내부자에 의한 개인정보 목적 외 이용 및 유출 정황(외부 해킹·침입 아님)
3. 유출규모 : 약 19만 2천여 명 가맹점 대표자 정보
4. 유출항목
- 휴대전화번호: 약 181,585건
- 휴대전화번호 + 성명: 8,120건
- 휴대전화번호 + 성명 + 생년 + 성별: 2,310건
- 휴대전화번호 + 성명 + 생년월일: 73건
※ 주민등록번호, 카드번호, 계좌번호 등 신용정보는 유출되지 않음
5. 특이사항
- 가맹점 대표자 정보로 한정, 일반 고객 개인정보 유출 없음
- 일부 영업점 직원이 카드 모집 실적 목적으로 정보 활용한 것으로 회사 측 설명
□ 가맹점이란? (카드사 기준)
1. 카드사와 가맹계약을 체결하고 신용·체크카드 결제를 수납할 수 있도록 승인받은 온/오프라인 사업자를 의미한다.
2. 카드사는 가맹점 관리 및 정산을 위해 가맹점 상호, 사업자등록번호, 주소, 대표자 성명 및 연락처 등 최소한의 계약·정산 관련 정보를 수집·보유한다.
* 가맹점 예) 동네 카페, 음식점, 편의점, 마트, 병원, 약국, 학원, 미용실, 주유소, 온라인 쇼핑몰, 배달앱 입점 상점 등 카드 결제가 되는 모든 사업자 = 가맹점
※ 일반 고객과 구분되는 사업자(대표자) 정보이며, 카드 결제 승인·정산·수수료 관리 목적에 한해 이용됨.
□ 가맹점 관리 시스템이란? (카드사 기준)
1. 카드사가 가맹점 계약 체결부터 운영·정산까지 전 과정을 관리하기 위해 사용하는 내부 업무용 전산 시스템을 말한다.
2. 해당 시스템에는 가맹점 기본정보, 대표자 정보, 계약 상태, 정산 계좌, 수수료율, 거래 현황 등이 저장되며,
가맹점 등록·변경·해지, 정산 처리, 민원 대응 등 업무 목적에 한해 제한적으로 접근하도록 운영된다.
※ 원칙적으로 영업·마케팅 목적의 개인정보 활용은 허용되지 않음
※ 내부 직원의 접근 권한·이용 목적 통제가 핵심 통제 대상
□ 가맹점 관리시스템 (예)
아래 이미지는 신한카드 '내부 정보 유출'건과 무관하며, '가맹점 관리시스템'에 대한 이해를 돕기위해 첨부 함.


□ 사고대응 타임라인
- 2025년 11월 12일 : 개인정보보호위원회로부터 가맹점 대표자 개인정보 유출 관련 공익 제보 접수 및 자료 제출 요청
- 2025년 11월 중순 ~ 12월 중순 : 제보 자료와 내부 가맹점 관리 DB를 대조·분석하는 자체 조사 수행(약 3주)
- 2025년 12월 23일 : 개인정보보호위원회에 개인정보 유출 사실 공식 신고 완료
. 홈페이지 공지 및 대표이사 명의 사과문 게시
. 유출 대상 가맹점 대표자 대상 개별 안내 및 조회 페이지 운영 개시
. 가맹점 대표자 개인정보 유출 사실이 주요 언론을 통해 최초 기사화
. 내부 직원에 의한 목적 외 개인정보 이용 정황이 보도됨
□ 개인정보 유출 관련 안내 공지

개인정보 유출여부 조회하기(클릭)
□ 대응내역
- 유출 사실 인지 즉시 추가 유출 차단 조치
- 내부 관련 시스템 및 프로세스 점검 완료
- 관련 직원에 대한 엄중 문책 예정
- 개인정보보호위원회 신고 및 조사 협조
- 유출 대상자 개별 통지 및 조회 서비스 제공
- 피해 발생 시 보상 방침 공지
□ 재발방지대책(권고사항)
1. 기술적 조치
- 가맹점 관리 시스템 조회·다운로드·출력 행위 로그 정밀화
- 개인정보 대량 조회·비정상 접근에 대한 상시 이상징후 탐지
- 화면 캡처·사진 촬영 등 우회적 반출 행위 통제 강화
2. 관리적 조치
- 영업·마케팅 목적 개인정보 이용 범위 재정의
- 내부자 개인정보 접근 권한 최소화 및 정기 점검
- ISMS-P 내부통제 항목에 대한 실효성 중심 재점검
- 내부자 위협(Insider Threat) 대응 교육 및 징계 기준 강화
□ 관련기사(출처)
감사합니다.
| [신세계I&C] 그룹 내부 인트라넷 개인정보 유출 정황_2025년 12월 (1) | 2025.12.27 |
|---|---|
| [아시아나항공] 임직원 개인정보 유출 정황_2025년 12월 (0) | 2025.12.27 |
| [플레이티켓] 외부 해킹 공격에 따른 개인정보 유출 의심 정황_2025년 12월 (1) | 2025.12.20 |
| [LG유플러스] 익시오(Xio) 통화정보 일시 노출_2025년 12월 (0) | 2025.12.11 |
| [대구 ○○고등학교] 학생에 의한 개인정보 절도·무단 열람 정황_2025년 11월 (0) | 2025.12.05 |