정부는 카드 3사의 개인정보 대량 유출이 심각한 사회 문제로 부각되면서 정보 수집의 단계별 문제점과 대책을 내놨다.
이는 금융회사의 과도한 개인정보 수집·보유에서부터 카드사용 피해에 따른 보상·배상에 이르는 광범위한 내용을 담고 있다.
정부는 실행이 가능한 것은 즉시 실행에 들어가고, 법률 개정이 필요한 사항은가급적 2월 국회에서 통과할 수 있도록 추진하기로 했다.
아울러 관계부처 합동으로 구성된 '개인정보보호 TF'를 통해 내달 중 구체적 세부 실행 방안을 확정할 계획이다.
그동안 제기된 개인정보 관리의 단계별 문제점과 이에 대한 대책을 정리한다.
◇ '필요 최소한'의 정보 철저 관리 금융회사가 지나치게 많은 개인정보를 수집·보유해 정보 유출시 피해가 확대될가능성이 문제점으로 지적됐다. 금융사는 고객별로 전화번호, 주소 등 20여개에서많게는 50여개 항목의 정보를 수집하고 있는 실정이다.
정부는 이에 금융회사가 '필요 최소한'의 정보만 보유해 철저히 관리하도록 개선하기로 했다.
금융회사의 정보보유 현황을 전면 점검해 보유 정보의 적정성을 평가하고, '필요 최소한'의 정보만 보유하도록 항목도 제도화하기로 했다.
개인정보 보유 기간도 축소해 거래 종료일로부터 5년 이내에 폐기하도록 할 예정이다. 과거 정보는 별도 관리하거나 외부 영업에 활용하는 것을 제한하고, 고객이요청시 불필요한 자료삭제·정보 암호화 등의 조치를 요청할 수 있는 '개인신용정보보호요청제도'도 도입하기로 했다.
정부는 이와 함께 주민등록번호 제도를 보완하는 방안도 검토하기로 했다.
◇수집정보 용도 제한 지금까지는 금융지주그룹 계열사나 협력사(제3자) 등에 고객정보 제공시 동의절차가 형식적으로 운영돼 마케팅 목적으로 이용됐다.
금융지주그룹 내에서는 고객 동의없이 자회사간 정보 제공도 가능했다. 또 제3자에 제공할 때에 의무화돼 있는 '사전 동의'는 개별 회사 명시가 없는 '포괄적 동의' 등으로 형식적으로 운영됐다.
이에 계열사·제3자 정보 제공시 고객 동의 방식 등을 개선하고, 정보 활용도엄격하게 제한하기로 했다.
계열사간 정보 공유는 원칙적으로 내부 경영관리 목적만으로 제한하고, 외부 영업(마케팅 등) 활용시 업무 처리 절차를 대폭 강화하기로 했다. 현재는 고객정보 관리인이 승인만 하면 되지만 앞으로는 이사회 승인과 함께 정보 이용 내역을 고객에게 통지하도록 할 방침이다.
분사된 회사는 직접 고객이 아닌 정보는 별도 관리하고, 방화벽을 설치해 일정기간이 지나면 의무적으로 폐기하도록 했다.
제3자에 대한 정보 제공시 '포괄적 동의'를 제한함으로써 정보 제공 대상이 되는 회사를 개별적으로 명시하거나 그룹핑으로 명시하도록 했다.
제3자의 정보 파기에 대해 금융회사가 확인하고, 정보 활용 목적에 필요한 기간도 명시하도록 했다. 기간이 지나면 파기해야 한다.
◇ 무차별적 권유 중단 금융회사 대출 모집인 등이 대출 권유·모집 등을 위해 '불법 유통 개인정보'를활용한 데 대해서는 대출 모집인 등에 대한 관리를 강화하고, 불법 정보 활용 가능성이 높은 비대면거래 제한도 개선하기로 했다.
불법 유통 정보를 활용한 대출모집인 등에 대해서는 자격을 박탈하고, 같은 업권 뿐만 아니라 전 금융업권내 모집인 등록을 제한하기로 했다.
대출 모집인 등 불법 정보 활용시 금융회사에 관리자 책임을 부과해 대출 모집인 등이 불법 정보를 활용한 경우 전속 금융회사 직원의 행위로 보고 기관 제재와과징금 등으로 관리자 책임을 엄정하게 부과할 방침이다.
금융사에 대출 모집인을 활용한 대출시 모집 경로 확인을 의무화하고, 전화·SMS 등 무차별적 대출권유 방식 중단을 협조 요청했다. 3월까지 대출 권유 중단을 요청하고, 2월 중 구체적인 통제 방안 제도화를 추진하기로 했다.
아울러 TV 방송을 통한 대출 광고 제한에 대해서도 검토하기로 했다.
◇ 임직원 등의 책임성 강화 정보 보안에 대한 CEO 등의 무관심과 임직원 등 내부 보안 규정 미준수 등이 사고 가능성을 확대하고 있다는 지적에 따라 임직원 및 외주업체까지 정보 보안 내부통제를 강화하기로 했다.
현재 신용정보법에 '신용정보 관리·보호인'을 두도록 돼 있으나, 임원이 아닌경우가 많고 CEO 등에 대해 주기적인 보고체계 구축돼 있지 않다.
이에 신용정보 관리·보호인의 권한과 의무를 강화해 신용정보 관리·보호인을'임원'으로 임명하고, 정보보호최고책임자(CISO)와 겸임을 허용해 종합적인 정보관리·보호 업무를 수행토록 할 계획이다.
임원에 대한 책임성도 강화해 신용정보 관리·보호인은 중요사항을 CEO(월 1회이상)·이사회(연 1회 이상)에 정기 보고하고, CEO는 서명하도록 할 예정이다.
직원 등에 대한 내부통제 실효성도 높여 금융회사의 자체 보안점검 프로세스를구체화하고, 금감원이 집중 검사를 하도록 할 계획이다. 또 직원의 업무·직급별 정보 접근 권한 등을 보안등급제를 통해 명확화하기로 했다.
아울러 IT 외주업체 관리를 강화하기 위해 외주 용역에 대해 정보보호최고책임자(CISO)의 승인과 사후 관리를 명확히 한다는 계획이다.
◇위반시 제재 대폭 강화 개인정보 유출에 따른 사회적 파급 효과에 비해 형사적·금전적·행정적 제재등이 적다는 지적이 그동안 많다. 당국은 처벌을 대폭 강화하기로 했다.
현재 신용정보법 위반시 5년 이하 징역이나 5천만원 이하 벌금이 부과되고, 과태료는 1천만원 이하다. 기관에 대해서는 여신전문금융사의 경우 영업정지 3개월이적용된다. 특히 임원의 경우는 직접 책임이 있는 행위자로 분류될 수 없어 불법 행위에 대한 관리 책임을 묻기 어려웠다.
이에 신용정보법 등의 형벌을 금융관련법 최고 수준으로 상향하기로 했다. 현행은행법은 10년 이하 징역 또는 5억원 이하 벌금이 부과된다.
정보 유출시 과태료도 현행 1천만원에서 5천만원으로 상향 조정하고, 징벌적 과징금 제도도 도입하기로 했다. 불법 수집·유통된 개인정보를 활용해 영업시 관련매출의 일정 비율을 과징금으로 부과하는 것이다.
개인정보를 유출한 금융회사에 대해서도 최고 50억원까지 과징금을 부과하기로했다. CEO 등 임원에 대해서는 정보유출에 대한 직접 책임을 부과하고, 기관에 대해서는 영업정지 3개월에서 6개월로 제재를 높이는 등 금융회사와 임직원 등에 대한제재 수준도 높이기로 했다.
신용정보사에 대해서도 영업정지 등 기관제재를 도입할 예정이다.
◇불법정보 유통시장, 검·경 등이 집중 단속 이미 유출돼 있는 개인정보 유통 등에 따른 피해 가능성이 제기되면서 관련부처합동으로 집중 단속도 벌이기로 했다.
3개 카드사에서 유출된 정보는 유통되지 않은 것으로 파악됐지만 기존에 유출된정보 등이 불법 대부광고 등에 활용될 가능성이 있기 때문이다.
검찰과 경찰 등이 무기한 합동 단속을 통해 개인정보 유통업자 등을 근절하고,만일의 피해시 구제절차 등도 마련하기로 했다. 적발시 '무관용 원칙'이 적용된다.
또 금감원 및 서민금융종합지원센터 등 17곳과 금융협회 등에 '불법유통 개인정보 신고센터'도 설치해 신고를 접수하기로 했다.
범죄 이용 가능성이 높은 전화번호는 제한하고 단속을 높여 내달 초부터 전화번호 신속 이용정지제도를 시행하기로 했다. 전화번호 이용 정지 법제화 등 입법도 2월 중 국회 통과를 추진한다는 계획이다.
아울러 금융회사 정보수집 및 보유실태와 함께 유통경로 등도 긴급 점검하고,미흡한 부분이 발견되면 엄정 제재할 방침이다.
◇ 보상 및 배상 카드 부정 사용에 따른 피해는 관련법률에 따라 종전과 같이 카드사가 전액 보상하도록 했다. 고객들의 손해 배상 소송에 대해서도 고객이 카드 피해의 인과관계를 소명할 수 있도록 카드사가 지원하도록 했다.
taejong75@yna.co.kr(끝)<저 작 권 자(c)연 합 뉴 스. 무 단 전 재-재 배 포 금 지.>�