이 기사는 2025년 05월 08일 14시15분 thebell에 표출된 기사입니다

10년 전 발생한 카드사 정보유출 사고와 관련해 NH농협카드가 신용정보회사 KCB를 상대로 제기한 소송에서 법원이 228억원의 배상 판결을 내렸다. 지난 2014년 KCB 소속 직원이 NH농협카드 등 3개 카드사 고객정보 1억400만건을 유출한 사건에 따른 손해배상이다. 앞서 KB국민카드는 대법원에서 623억원의 배상 확정 판결을 받았고 NH농협카드 역시 1심의 180억원에서 한층 강화된 배상액을 2심에서 인정받았다.

NH농협카드는 사고 이후 정보보호 역량을 강화하며 조직 전반의 보안체계를 재정비했다. 최근 SKT 해킹 등 외부위협에 대응해 NH페이 내 이중 인증 구조를 강화하고 고위험 가맹점에선 이상거래탐지(FDS) 연계 고객확인 절차를 통해 거래 자체를 제한하는 등 보안 통제를 강화하고 있다. 금융당국도 제3자 리스크 관리를 요구하는 가운데 NH농협카드는 농협은행과 통합된 보안 시스템 아래 대응력을 끌어올리고 있다.

◇개인정보 유출 10년 공방 분수령…SKT 해킹 이후 보안대응도 강화

서울고등법원은 지난 1일 NH농협카드가 KCB를 상대로 제기한 손해배상청구 소송에서 228억원을 배상하라고 선고했다. 지난 2014년 KCB 소속 직원이 KB국민카드에 파견돼 카드사고 방지 시스템(FDS) 업그레이드를 수행 중 NH농협카드와 KB국민카드, 롯데카드 고객 1억400만건을 유출한 사건의 책임을 물은 것이다.


가장 유출 건수가 많았던 KB국민카드(5378만건)에 대해서는 지난해 대법원이 KCB가 623억원 손해배상 판결을 내렸다. 2259만건이 유출된 NH농협카드는 1심에서 KCB가 180억원을 배상하라는 판결이 나왔지만 2심에서는 228억원으로 규모가 커졌다.

NH농협카드 내부에서도 보안 시스템을 강화하고 있다. 10년 전 카드사 정보유출 이슈 이후 정보보안 외부전문가를 영입하고 개인정보보호 전담인력을 투입하고 있다. NH농협카드 관계자는 "고객정보를 암호화하고 외부망 PC 분리로 개인정보 접근 통제를 강화했다"며 "외부 위탁업체와의 보안약정을 체결하고 점검에도 나서고 있다"고 설명했다. 연간 보안 교육과 점검계획 시행 등 제도적 대응도 병행하고 있다.

최근 SKT 해킹 사태와 맞물려 NH농협카드는 자체 보안 대응을 한층 더 강화하고 있다. 인증 기반 거래구조를 갖춘 만큼 추가 인증수단을 활용하는 식이다. NH농협카드 측은 "NH페이에서는 단순 유심 인증만으로 거래가 가능한 경우는 거의 없다"며 "추가적인 결제 비밀번호나 실물카드 뒷면 특정 번호 등 인증 구조를 이미 갖추고 있다"고 설명했다.

또한 환금성이 높은 가맹점에서 이상 거래가 발생할 때 고객 확인이 되지 않으면 결제 자체를 제한하는 조치도 시행 중이다. 카드사 자체 FDS 시스템과 연계해 상담사를 통한 정밀 심사 및 고객 컨택 절차도 병행되고 있다.

◇금융당국, 제3자 리스크관리 가이드라인 예고…농협은행 내부 NH농협카드도 적용 대상

금융당국도 제3자 리스크관리를 주문하고 있다. 금융감독원은 금융기관의 외부위탁 증가 추세에 따라 제3자에 대한 운영리스크가 커지고 있다고 보고 지난 3월 제3자 리스크관리 가이드라인을 예고했다. 금융사는 위탁업체의 정보보호 수준과 의존도, 위탁 범위 등을 종합 고려해 전사적인 통합 리스크 관리 체계를 구축해야 한다. 이사회 및 경영진 차원에서도 감독·보고 체계를 갖춰야 한다.

특히 NH농협카드처럼 은행의 사내분사(CIC)로 존재하면서 카드업무를 수행하는 경우 은행 전체의 책무구조도 상에서 제3자 리스크 관리 체계를 반영해야 한다. NH농협카드는 농협은행의 부문 소속으로 존재하는 구조상 정보보호 조직도 은행-카드 간 통합 구조를 유지하고 있다. NH농협은행이 전체 보안 전략과 시스템을 총괄하고 카드사 내에는 별도의 정보보호 전담팀(카드 컴플라이언스팀)이 존재한다. 최고정보보호책임자(CISO)는 농협은행 측이 맡고 있다.