정부가 22일 발표한 ‘금융회사 고객 정보 유출 사건 재발 방지 종합 대책’은 문제가 발생한 금융사 및 최고경영자(CEO)에 대한 처벌 강화와 금융사의 고객 정보 수집에 대한 제한 등으로 요약된다.
징벌적 과징금 도입과 CEO에 대한 해임 등 처벌 수위를 높여 금융사에 경각심을 주는 한편 금융사의 과도한 고객 정보 수집을 금지하고 계열사나 제휴사 간 공유도 제한하면서 고객 정보의 무분별한 남용을 막겠다는 것이다.
그러나 정보 유출 사고가 터질 때마다 나오는 정부 대책이 이번에도 ‘땜질’식 수준이 아니냐는 우려가 벌써부터 나온다. 정부는 개인정보보호 태스크포스(TF)를 구성한 지 단 5일 만에 이번 대책을 내놨다.
◇징벌적 과징금 도입·CEO 해임…처벌 강화
고객 정보를 유출한 금융사와 해당 최고경영진(CEO)에 대한 처벌 강화는 유출의 1차 책임이 금융사에 있다는 점을 명확하게 하려는 메시지로 풀이된다.
이번 사건처럼 외부 직원에 의한 유출일지라도 금융사들이 ‘나도 피해자’라는 인식을 버리고, 더욱 적극적인 고객 정보 보호에 나서야 한다는 것이다.
그동안 금융당국이 고객 정보가 유출된 금융사와 경영진에 대해 취한 ‘솜방망이’ 처벌이 이번 사태를 불러왔다는 점도 처벌을 강화한 배경으로 분석된다.
실제 2011년 발생한 삼성카드와 하나SK카드의 유출 사건은 자칫 대형 사고로 이어질 수 있었지만, 처벌은 과태료 600만원에 그쳤다. 해킹에 의해 2011년 사상 최대 규모인 175만여건의 개인정보가 유출된 현대캐피탈도 기관경고만 받았다.
이처럼 사안의 경중에 관계없이 과태료가 600만원에 그친 것은 신용정보이용보호법 시행령에서 과태료 한도를 600만원으로 정해놓은 때문이다.
그러나 정부는 앞으로 금융사들이 불법적으로 개인 고객정보를 유출해 부당이익을 얻으면 연간 매출액의 1%까지 과징금을 부과하기로 했다.
정부는 또 이번 고객 정보 유출과 같이 금융사가 취한 부당이익이 없다고 하더라도 최고 50억원의 과징금을 부과하는 방안을 마련하기로 했다. 영업정지도 최대 3개월에서 6개월로 늘리기로 했다.
금융사 CEO에 대해 정부는 사고발생시의 전·현직 관련 임직원(CEO 포함)에 대해서는 해임권고·직무정지 등 중징계 부과를 추진하기로 했다.
과거 삼성카드의 경우 임원 3명에게 주의적 경고 상당, 주의, 주의 상당 조치만 부과됐고, 하나SK카드도 일부 임원에 대해 주의적 경고 상당 조치 등이 내려졌다. 현대캐피탈은 임원 2명이 주의적 경고를 받았을 뿐이었다.
신제윤 금융위원장은 이번 고객 정보 대량 유출에 대해 “최고경영자의 관심과 열의가 미흡했다”고 지적한 바 있다. CEO가 고객 정보 보호와 관리에 관심을 둔다면 이번 사태와 같은 개인 정보 유출은 발생하지 않았을 것이라는 뒤늦은 판단이다.
◇금융사 과도한 고객정보 수집·보유·공유 제한
무분별하게 많은 고객 정보를 수집하거나 이를 오랜 기간 보유하고, 계열사나 제휴사 등과 공유해 온 금융사의 주먹구구식 정보 관리에도 제동이 걸리게 됐다.
금융사의 과도한 정보 보유와 공유는 지난 8일 검찰의 개인정보 유출 수사 발표로 적나라하게 드러났다. 당시 유출된 정보는 1억400만건이었는데, 국내 신용카드 고객이 2천만명인 수준을 감안하더라도 약 5배에 이르는 수치이기 때문이다.
KB카드에서는 4천320만명의 개인정보가 유출됐는데, 이 중 현재 카드 회원은 950만명에 불과했다. 나머지 1천150만명은 카드는 없는 국민은행 고객이고, 2천220만명은 이미 카드 계약을 해지한 과거 고객 등이었다.
각각 2천여만명의 개인정보를 유출한 농협카드와 롯데카드도 실제 회원은 619만명과 790만명밖에 되지 않았다.
금융사들이 한 번 가입한 고객들의 정보를 본인 동의와 무관하게 보관해 온 것이다. 탈회한 지 10년이 지난 고객이나 심지어 사망자의 정보도 있었다.
지난 17일부터 3개 카드사가 시작한 개인정보 유출 본인 확인 서비스에서는 금융사가 수집한 정보의 항목이 그대로 드러났다. 주민등록번호나 집 주소 등은 물론이고, 신용카드 사용실적, 카드 번호 등 최대 19개 항목이 포함돼 있다.
카드사는 이런 정보를 계열사와 공유하는 것은 물론, 다른 제휴사에도 제공했다. 국민카드의 제휴 업체만 102개사에 달하며 카드사 전체로는 제휴사가 1천개를 넘는다
정부는 현재 관련 법령에 따라 5~10년 이상 보유할 수 있도록 돼있는 개인정보를 탈회일로부터 5년까지로 제한하고, 탈회 고객 정보는 현재의 고객 정보와는 별도로 분리해 보관·관리하게 할 계획이다.
또 고객이 정보보호를 요청하면 불필요한 자료를 삭제하고, 보관이 필요한 정보는 암호화해 별도 보관하도록 할 계획이다. 개인이 자신의 정보 보호를 요청할 수 있는 ‘개인신용정보 보호요청제’ 도입도 검토하기로 했다.
아울러 계열사와 공유가 가능한 정보는 원칙적으로 신용위험관리 등 내부 경영관리 목적에 한정하기로 했다.
불법적으로 개인 정보를 구입해 영업하다 적발되는 대출 모집인에 대해서는 현재 자격정지 2년의 제재를 강화해 영원히 퇴출시키기로 했다.
◇대책, 대책, 또 대책…TF 구성 5일만에
금융당국은 그동안 보안 관련 사고가 터질 때마다 각종 대책을 발표해 왔다.
2011년에는 현대캐피탈 고객 정보 유출과 농협 전산장애 사고 등을 계기로 ‘금융회사 IT보안 전반에 대한 종합대책’을 마련했고, 작년 7월에는 농협·신한은행의 금융전산 사고가 나자 ‘금융전산 보안 강화 종합대책’을 내놨다.
부정 결제 사고가 발생했을 때에는 ‘온라인결제 보안강화 종합대책’을 내놨고, 작년 8월에는 ‘금융분야 개인정보보호 가이드라인’을 발표했다.
그러나 번번이 뚫렸다. 금융당국은 이번에도 개인정보보호를 위한 태스크포스(TF)를 구성하고 지난 17일 첫 회의를 가졌다.
금융위원회, 금융감독원, 안전행정부 등 관계 부처 관계자와 대학교수, 금융연구원, 인터넷진흥원 등 학계 및 민간 전문가 등이 참여해 내달 중 세부 실행방안을 확정할 예정이다.
이번 대책은 TF 구성 5일만에 만들어졌다. 토·일을 제외하면 첫 회의를 가진 뒤 3일만에 나온 셈이다. 이 때문에 졸속 대책이라는 비판에서 자유롭지 못하다.
그럼에도, 정부가 대책을 내놓은 이유는 확산되는 개인정보 유출에 대한 국민적 불안감을 조기에 잡기 위한 것으로 보인다.
금융위 관계자는 “국민이 카드사 등 자신의 개인정보보호 유출에 대해 크게 불안해하고 있기 때문에 이를 하루빨리 해소할 필요가 있다고 판단했다”고 말했다.
그러나 정보유출 사태가 지속하면서 불거지는 정부 책임론을 조기에 차단하기 위한 것이 아니냐는 지적도 나온다.
아울러 박근혜 대통령이 해외 순방 중에 이번 사태가 확산된 터라 대통령이 귀국하기 전에 상황을 수습하려는 의지도 깔린 것으로 풀이된다.
그러나 금융당국이 관리감독 책임을 면하기는 어렵다는 분석이 나오고 있다.
연합뉴스
징벌적 과징금 도입과 CEO에 대한 해임 등 처벌 수위를 높여 금융사에 경각심을 주는 한편 금융사의 과도한 고객 정보 수집을 금지하고 계열사나 제휴사 간 공유도 제한하면서 고객 정보의 무분별한 남용을 막겠다는 것이다.
그러나 정보 유출 사고가 터질 때마다 나오는 정부 대책이 이번에도 ‘땜질’식 수준이 아니냐는 우려가 벌써부터 나온다. 정부는 개인정보보호 태스크포스(TF)를 구성한 지 단 5일 만에 이번 대책을 내놨다.
◇징벌적 과징금 도입·CEO 해임…처벌 강화
고객 정보를 유출한 금융사와 해당 최고경영진(CEO)에 대한 처벌 강화는 유출의 1차 책임이 금융사에 있다는 점을 명확하게 하려는 메시지로 풀이된다.
이번 사건처럼 외부 직원에 의한 유출일지라도 금융사들이 ‘나도 피해자’라는 인식을 버리고, 더욱 적극적인 고객 정보 보호에 나서야 한다는 것이다.
그동안 금융당국이 고객 정보가 유출된 금융사와 경영진에 대해 취한 ‘솜방망이’ 처벌이 이번 사태를 불러왔다는 점도 처벌을 강화한 배경으로 분석된다.
실제 2011년 발생한 삼성카드와 하나SK카드의 유출 사건은 자칫 대형 사고로 이어질 수 있었지만, 처벌은 과태료 600만원에 그쳤다. 해킹에 의해 2011년 사상 최대 규모인 175만여건의 개인정보가 유출된 현대캐피탈도 기관경고만 받았다.
이처럼 사안의 경중에 관계없이 과태료가 600만원에 그친 것은 신용정보이용보호법 시행령에서 과태료 한도를 600만원으로 정해놓은 때문이다.
그러나 정부는 앞으로 금융사들이 불법적으로 개인 고객정보를 유출해 부당이익을 얻으면 연간 매출액의 1%까지 과징금을 부과하기로 했다.
정부는 또 이번 고객 정보 유출과 같이 금융사가 취한 부당이익이 없다고 하더라도 최고 50억원의 과징금을 부과하는 방안을 마련하기로 했다. 영업정지도 최대 3개월에서 6개월로 늘리기로 했다.
금융사 CEO에 대해 정부는 사고발생시의 전·현직 관련 임직원(CEO 포함)에 대해서는 해임권고·직무정지 등 중징계 부과를 추진하기로 했다.
과거 삼성카드의 경우 임원 3명에게 주의적 경고 상당, 주의, 주의 상당 조치만 부과됐고, 하나SK카드도 일부 임원에 대해 주의적 경고 상당 조치 등이 내려졌다. 현대캐피탈은 임원 2명이 주의적 경고를 받았을 뿐이었다.
신제윤 금융위원장은 이번 고객 정보 대량 유출에 대해 “최고경영자의 관심과 열의가 미흡했다”고 지적한 바 있다. CEO가 고객 정보 보호와 관리에 관심을 둔다면 이번 사태와 같은 개인 정보 유출은 발생하지 않았을 것이라는 뒤늦은 판단이다.
◇금융사 과도한 고객정보 수집·보유·공유 제한
무분별하게 많은 고객 정보를 수집하거나 이를 오랜 기간 보유하고, 계열사나 제휴사 등과 공유해 온 금융사의 주먹구구식 정보 관리에도 제동이 걸리게 됐다.
금융사의 과도한 정보 보유와 공유는 지난 8일 검찰의 개인정보 유출 수사 발표로 적나라하게 드러났다. 당시 유출된 정보는 1억400만건이었는데, 국내 신용카드 고객이 2천만명인 수준을 감안하더라도 약 5배에 이르는 수치이기 때문이다.
KB카드에서는 4천320만명의 개인정보가 유출됐는데, 이 중 현재 카드 회원은 950만명에 불과했다. 나머지 1천150만명은 카드는 없는 국민은행 고객이고, 2천220만명은 이미 카드 계약을 해지한 과거 고객 등이었다.
각각 2천여만명의 개인정보를 유출한 농협카드와 롯데카드도 실제 회원은 619만명과 790만명밖에 되지 않았다.
금융사들이 한 번 가입한 고객들의 정보를 본인 동의와 무관하게 보관해 온 것이다. 탈회한 지 10년이 지난 고객이나 심지어 사망자의 정보도 있었다.
지난 17일부터 3개 카드사가 시작한 개인정보 유출 본인 확인 서비스에서는 금융사가 수집한 정보의 항목이 그대로 드러났다. 주민등록번호나 집 주소 등은 물론이고, 신용카드 사용실적, 카드 번호 등 최대 19개 항목이 포함돼 있다.
카드사는 이런 정보를 계열사와 공유하는 것은 물론, 다른 제휴사에도 제공했다. 국민카드의 제휴 업체만 102개사에 달하며 카드사 전체로는 제휴사가 1천개를 넘는다
정부는 현재 관련 법령에 따라 5~10년 이상 보유할 수 있도록 돼있는 개인정보를 탈회일로부터 5년까지로 제한하고, 탈회 고객 정보는 현재의 고객 정보와는 별도로 분리해 보관·관리하게 할 계획이다.
또 고객이 정보보호를 요청하면 불필요한 자료를 삭제하고, 보관이 필요한 정보는 암호화해 별도 보관하도록 할 계획이다. 개인이 자신의 정보 보호를 요청할 수 있는 ‘개인신용정보 보호요청제’ 도입도 검토하기로 했다.
아울러 계열사와 공유가 가능한 정보는 원칙적으로 신용위험관리 등 내부 경영관리 목적에 한정하기로 했다.
불법적으로 개인 정보를 구입해 영업하다 적발되는 대출 모집인에 대해서는 현재 자격정지 2년의 제재를 강화해 영원히 퇴출시키기로 했다.
◇대책, 대책, 또 대책…TF 구성 5일만에
금융당국은 그동안 보안 관련 사고가 터질 때마다 각종 대책을 발표해 왔다.
2011년에는 현대캐피탈 고객 정보 유출과 농협 전산장애 사고 등을 계기로 ‘금융회사 IT보안 전반에 대한 종합대책’을 마련했고, 작년 7월에는 농협·신한은행의 금융전산 사고가 나자 ‘금융전산 보안 강화 종합대책’을 내놨다.
부정 결제 사고가 발생했을 때에는 ‘온라인결제 보안강화 종합대책’을 내놨고, 작년 8월에는 ‘금융분야 개인정보보호 가이드라인’을 발표했다.
그러나 번번이 뚫렸다. 금융당국은 이번에도 개인정보보호를 위한 태스크포스(TF)를 구성하고 지난 17일 첫 회의를 가졌다.
금융위원회, 금융감독원, 안전행정부 등 관계 부처 관계자와 대학교수, 금융연구원, 인터넷진흥원 등 학계 및 민간 전문가 등이 참여해 내달 중 세부 실행방안을 확정할 예정이다.
이번 대책은 TF 구성 5일만에 만들어졌다. 토·일을 제외하면 첫 회의를 가진 뒤 3일만에 나온 셈이다. 이 때문에 졸속 대책이라는 비판에서 자유롭지 못하다.
그럼에도, 정부가 대책을 내놓은 이유는 확산되는 개인정보 유출에 대한 국민적 불안감을 조기에 잡기 위한 것으로 보인다.
금융위 관계자는 “국민이 카드사 등 자신의 개인정보보호 유출에 대해 크게 불안해하고 있기 때문에 이를 하루빨리 해소할 필요가 있다고 판단했다”고 말했다.
그러나 정보유출 사태가 지속하면서 불거지는 정부 책임론을 조기에 차단하기 위한 것이 아니냐는 지적도 나온다.
아울러 박근혜 대통령이 해외 순방 중에 이번 사태가 확산된 터라 대통령이 귀국하기 전에 상황을 수습하려는 의지도 깔린 것으로 풀이된다.
그러나 금융당국이 관리감독 책임을 면하기는 어렵다는 분석이 나오고 있다.
연합뉴스
