신한캐피탈 보안담당 직원이 사내 외부 접속망을 통해 대량의 데이터를 다운로드한 사실이 드러나며 내부 불만이 커지고 있다. 해당 사안은 경찰 조사로까지 이어졌지만 회사는 감봉 등 경미한 징계에 그쳤고, 직원은 여전히 근무를 이어가고 있다. 일부 직원들은 “보안 담당자가 경찰 조사를 받고도 근무를 유지한다”며 인사 관리 시스템의 신뢰가 무너졌다고 지적했다

31일 신한캐피탈 관계자에 따르면, 최근 이 회사 보안담당 직원이 사내 외부망 공용PC를 통해 수백GB 규모의 데이터를 내려받은 정황이 포착돼 회사가 경찰 조사에 협조했다. 신한캐피탈은 “외부망에서 비정상적 대용량 트래픽이 발생해 경위를 확인한 것일 뿐, 고객정보 유출 등 보안사고는 아니라고 판단했다”고 밝혔다. 회사는 해당 직원에게 감봉 등 내부 징계를 내리고 일부 업무에서 배제했다.

그러나 내부 반응은 냉담하다. 복수의 직원들은 “경찰 수사까지 받은 사안을 ‘보안사고가 아니다’로 덮은 것은 이해하기 어렵다”며 “보안 담당자가 오히려 규정을 어겼는데도 근무를 유지하는 것은 형평성과 통제력 모두 상실한 조치”라고 비판했다. 또 다른 직원은 “이슈가 된 직원은 경징계에 그치고 일반 직원들만 추가 규제 대상이 됐다”며 “결국 불만만 키우는 조치”라고 지적했다.

금융권 일반 규정에 따르면, 전자금융업자는 전산자료 유출 및 반출 통제, 최소권한 관리, 보조기억매체 관리 등 내부자 행위로 인한 정보 유출을 방지하기 위한 체계를 갖춰야 한다. 특히 「전자금융감독규정」 제13조는 금융회사가 전산자료의 반출·반입을 통제하고 접근권한을 철저히 관리해야 한다고 명시하고 있다. 「전자금융거래법」 또한 전자금융거래의 안전한 처리와 보안관리 의무를 금융회사에 부과한다.

보안 전문가들은 “외부망 공용PC는 인터넷 전용 단말로, 내부 데이터에 접근할 수 없게 설계돼야 한다”며 “수백GB의 다운로드가 가능했다면 망 분리 정책이 작동하지 않았거나, 보안 권한이 부적절하게 사용된 것일 수 있다”고 지적한다.

신한캐피탈 측은 “외부 유출은 없었으며 내부 절차에 따라 징계가 이뤄졌고, 재발방지 조치를 검토 중”이라면서도 다운로드된 데이터의 성격과 구체적 내용에 대해서는 “설명할 수 없다”고 밝혔다.