이번 논란의 장본인은 씨티카드다. 씨티카드 측이 직접 밝힌 바에 따르면 지난 8~9일 이틀간 씨티카드 이용자 28명의 돈이 계좌에서 불법으로 빠져나갔다. 사건 발생 장소는 태국이다. 피해액은 개인당 약 6만5000원 수준으로 알려졌다. 씨티카드에선 피해 소비자들에게 이번주 내로 보상을 완료하겠다고 약속했다.

하지만 보상 여부만큼이나 중요한 건 개인정보 유출에 대한 국민적 불안감이 확산하고 있다는 점이다. 이는 지난 2014년 카드사의 개인정보 대규모 유출사건의 상처가 채 아물기도 전에 비슷한 건이 재발한 데 따른 불신의 확산이기도 하다. 불신의 촉이 향하는 곳은 당연히 금융당국과 카드사다. 

2014년 개인정보 유출 사태 이후 금융당국과 카드사들은 개인정보 보완 사업에 돈과 인력을 쏟았다. 먼저 금융당국은 여신협회와 카드 가맹점 단말기를 해킹에 강한 IC카드 단말기로 무료로 교체하는 작업을 진행하고 있다. 카드사들 역시 평소와 다른 이상 구매 패턴을 사전에 감지해 카드 복제에 따른 부정 거래를 방지하는 FDS을 도입해 운영 중이다. 하지만 최근 발생한 사건들로 그동안의 일들이 생색내기에 불과했던 것 아니냐는 비판에 직면하게 된 셈이다.

올 초 금융당국은 영업 목적의 금융지주사 계열사간 개인정보 공유를 허용하겠다고 밝혔다. 이유는 빅데이터 활용 등을 통한 금융경쟁력 강화였다. 2014년 이후 개인정보 공유를 금지한 지 2년만의 일이라 너무 이른 것 아니냐는 지적에는 보완 시스템의 우수성을 강조하는 답으로 대신했다.