사고는 '모니모' 앱에서 났다. 삼성생명, 삼성카드, 삼성화재, 삼성증권 등 삼성 금융 계열사들이 모여 출시한 앱이다. 이곳에서 개인 신용정보가 유출됐다. 삼성증권 고객 344명의 정보가 다른 사람들에게 노출된 것이다. 타인의 정보를 보게 된 사람은 삼성증권과 거래하지 않는 모니모 이용자들이었다. SBS에 제보한 유 모 씨도 본인은 삼성생명에만 가입한 상태였다. 삼성증권은 안 썼는데 모니모를 깔았더니 일면식도 없는 홍 모 씨의 증권계좌가 보였다. 유 씨는 바로 홍 씨의 이름과 계좌번호, 잔고, 수익률, 거래내역 등을 캡처해 취재진에 알려왔다. 지난 18일, 앱 출시 나흘 만에 빚어진 사고였다.

취재가 시작되자 모니모 구축을 주도한 삼성카드에서 피해 사실을 확인해줬다. 18일 저녁 6시 17분부터 다음날 오전 9시 22분까지 15시간 넘게 오류가 이어졌다고 시인했다. 공지는 안 되냐고 물었는데 곧 할 거라고 답했다. 결국 방송 30분 전인 20일 밤 7시 반쯤, 공지가 됐다. 그런데 이상했다. 모니모가 아니었다. 공지는 삼성증권 홈페이지에만 됐다. 삼성카드 측은 오류를 낸 게 삼성증권이기 때문에 그렇게 진행했다고 했다. 유출된 정보를 본 사람은 삼성증권 이용자가 아니었다. 캡처도 가능해서 아직 타인의 정보를 갖고 있는 사람들이 있을 수도 있었다. 하지만 이들에게는 공지가 전해지기 어려웠다. 모니모에서 일어난 사고를 삼성증권에만 고지하는 목적이 뭔지, 진짜 사과하려는 게 맞는지 이해하기 어려웠다.
  모니모는 '원 팀(One team)'의 기치를 걸고 출범했다. 명칭부터 '머니(money)'와 '모어(more)'를 결합해 '모이면' 혜택이 커진다는 걸 강조했다. 생명의 보험금 청구, 화재의 자동차 고장 출동, 카드의 한도 상향 신청, 증권의 펀드 투자 등의 기능을 모니모에 하나로 모았다. 삼성페이 등 핵심 서비스도 추가 연결을 검토 중이다. 이런 '원 팀'을 내건 배경에는 위기의식이 깔려 있다. 앱 출범 논의도 카카오, 네이버, 토스 등 '빅테크'의 위협을 피부로 느끼는 그룹 내 MZ 세대들의 요구에서부터 시작된 것으로 전해진다. 중복 가입을 빼고도 2,300만 고객을 가진 거대 금융 계열사들이 힘을 합쳐 이제라도 시장의 주도권을 갖겠다는 승부수를 던진 것이다.


하지만 이번 사고의 취재 과정에서 '원 팀'이라는 인상은 받기 어려웠다. 4개 회사의 통합 앱에서 벌어진 사고였지만 넷 중 어느 회사의 잘못인지를 따지는 게 더 중요해 보였다. 사실 모니모는 태생부터 뚜렷한 책임과 권한을 가진 회사 없이 거대 금융사들의 단순 연합 형태로 출범했다. 지주회사 형태를 갖춘 여타의 금융사들과는 구조부터 달랐다. 지배구조만 놓고 보면 삼성생명이 맏형 격이다. 삼성생명의 계열사 지분율은 삼성카드 71.85%, 삼성증권 29.39%, 삼성화재 14.98%에 달한다. 하지만 모니모는 앱 서비스에 강점을 가진 삼성카드가 주도해 만들었다. 사고가 난 건 모니모인데 사고 공지는 삼성증권에만 한 걸 보며 의문이 생겼다. 앞으로도 모니모에서 사고가 나면 오류를 낸 회사를 찾아내 그곳의 책임만 강조할까. 정말 원 팀 맞나.
  이상한 건 또 있다. 사고 공지는 삼성증권의 '홈페이지'에만 됐다. 삼성증권 앱에서는 안 보인다. 삼성증권은 개인 신용정보가 유출된 고객 344명에게 개별 연락하고 있다고 했지만 사고 사실을 알리는 데 소극적이라는 인상을 지우기는 어려웠다. 금융당국에 대한 통지도 마찬가지였다. 금융 당국은 방송을 앞둔 취재진에 "이 정도 신용정보 유출은 신고가 이뤄져야 하는데 아직까지 안 되고 있다"며 "24시간이 되는 자정 안에는 통지가 오길 기다릴 것"이라고 말했다. 모니모 측은 뒤늦게 "법률 자문을 받아본 결과 통지 의무는 없지만 금융 당국에 알리긴 했다"고 전했다.

법을 보니 실제 그랬다. 정보 유출에 관한 법은 크게 3가지로 나뉘어 있었다. 당국에 대한 통지 기준은 법마다 제각각이었다. 전자금융거래법은 해킹 등 전자적 침해사고가 났을 때만 알리도록 했다. 신용정보보호법은 1만 명 이상의 개인 신용정보가 누설됐을 때 금융당국에 신고하게 했고, 개인정보보호법에서는 1천 명 이상의 정보가 유출된 경우에 당국에 통지하게 했다. 삼성증권의 주장대로 344명의 정보 유출은 금융당국에 알리지 않고 넘어가도 되는 일이었다. 다만 금융당국과 삼성증권은 '전자금융감독규정'을 놓고 일부 해석이 엇갈렸다. 결과적으로 신고가 진행됐지만, 금융당국은 "규정에 따라 신고사항"이라고 말했고 삼성증권 측은 "'규정 해설'을 놓고 보면 신고사항이 아니다"라고 해석했다.

전문가들은 마이데이터 등 개인 신용정보의 활용을 높이는 방향으로 정책이 진행되는 만큼 사고 발생 시 당국에 대한 통지 기준을 낮춰 신고를 늘리는 방향으로 가야 한다고 말한다. 최경진 개인정보보호법학회장은 "개인정보는 '1천 명', 신용정보는 '1만 명'이라는 사고 통지 기준부터 납득이 어렵다"며 "전자금융거래법, 신용정보보호법, 개인정보보호법 등 세 가지 법마다 제각각인 사고 통지 기준을 일원화할 필요가 있다"고 말했다. 소규모 중소업체의 정보 유출과 공공기관의 정보 유출이 다르듯 기관의 중요도나 유출된 정보의 위험도에 따라 세분화된 기준이 필요하다.