삼성카드가 내부 직원이 1년8개월 동안 약 200회에 걸쳐 ‘제 집 드나들 듯’ 회사 서버를 뚫고 고객정보를 빼돌린 것을 모르고 있었던 것으로 밝혀졌다. 고객정보가 불법 대부업체 등에 이미 팔려 나간 것으로 확인돼 피해 규모는 더욱 늘어날 전망이다.

서울 남대문경찰서는 5일 삼성카드 회원 개인정보 유출 혐의로 내부 직원 박모씨(34)에 대해 구속영장을 신청할 예정이라고 발표했다. 남대문경찰서는 지난해 8월 삼성카드로부터 직원 박씨를 상대로 수만명에 대한 개인정보 유출 의혹을 수사해 달라는 고소장을 제출받아 수사를 진행해 왔다.

경찰 수사 결과 박씨는 2010년 1월부터 지난해 8월까지 모두 196회에 걸쳐 삼성카드 보안망을 뚫고 서버를 해킹해 192만여건에 달하는 개인 정보를 불법 조회한 것으로 드러났다. 조회 정보에는 회원의 이름, 직장명, 전화번호, 주민번호, 주소, 카드번호, 대출 전력 등이 포함된 것으로 나타났다.

박씨는 또 조회한 정보 중 47만여건을 본인 노트북에서 불법 다운로드받고, 261회에 걸쳐 4752장을 종이로 출력했다고 경찰 측은 밝혔다.

경찰은 이와 함께 박씨가 해킹한 고객정보 300건을 대부업자 이모씨에게 건넨 것을 확인하고, 이씨가 친구의 은행계좌를 이용해 고액의 현금 거래를 한 것을 파악해 별건으로 수사하고 있다고 덧붙였다. 이씨는 박씨로부터 받은 개인정보를 이용해 ‘저금리, 당일대출, 무담보, 신용대출’이라는 대출 관련 문자메시지를 보낸 것으로 확인됐다.

업계에서는 이번 사고가 외부의 해킹이 아닌 내부직원에 의해 발생했다는 점에서 더 심각한 사고라는 지적이다.

내부통제 시스템에 근본적인 문제가 있는 것 아니냐는 얘기도 나온다. 20개월 동안 한 직원이 수백만건의 고객 정보를 불법 조회해 빼돌리는 것을 전혀 눈치채지 못하고 있었기 때문이다.

금융당국은 삼성카드의 고객정보 보안시스템 등에 문제가 드러난 만큼 추가 조사를 벌인 뒤 제재 심의 절차를 진행한다는 계획이다. 금융감독원 관계자는 “보안 사고 때 경영진에 대해서도 엄중 문책하기로 한 만큼 관련 사항을 꼼꼼히 들여다보겠다”고 말했다.

삼성카드는 사고 발생 이후 정보보안팀을 신설하고 내부통제를 강화해 고객정보 유출이 재발하지 않도록 하겠다고 밝혔다.

최치훈 삼성카드 사장은 “고객에게 진심으로 사과드린다”며 “고객 피해가 확인되면 보상하겠다”고 말했다.

김일규/하헌형 기자 black0419@hankyung.com