올해 초 발생한 카드 3사의 개인정보 유출사고는 금융당국의 무능함에서 비롯됐습니다.
감사원은 오늘(28일) '금융회사 개인정보 유출 관련 검사·감독 실태'에 대한 감사결과를 발표하고, 금융당국이 개인정보 관련 불합리한 제도를 방치했으며, 금융사들이 마음대로 고객정보를 수집하는데도 암묵적으로 승인해줬다고 밝혔습니다.
'신용정보법' 제32조 제6항에 따르면 금융회사는 영업양도나 합병 등을 이유로 개인정보를 타인에게 제공하려면, 그 범위에 대해 금융위원회의 승인을 받도록 규정되어 있습니다.
하지만 금융위는 지난 2009년 10월부터 올해 4월까지 이 법을 적용받아야하는 금융사 56개에 대해 인·허가를 해주면서도 개인정보제공 승인을 받도록 안내하지 않았습니다.
인·허가 후에는 승인 신청을 하도록 지도하지도 않았고, 49개 회사가 승인을 받지 않았는데도 금융당국은 이 같은 사실을 모르고 있었습니다.
금감원은 승인받지 않은 49개 금융사 중 7개 금융사에 대해 종합검사를 실시하고서도 개인정보 관련 승인여부에 대해서는 검사조차 하지 않았습니다.
한편, '금융지주회사법' 제48조의2에는 개인정보를 사전동의 없이도 금융지주 및 자회사들 간에 영업상 이용 목적으로 제공할 수 있도록 규정하고 있어 개인정보 유출 피해를 키웠다는 지적이 있었습니다.
금융위는 이러한 규정이 개인정보보호에 미흡한 것임에도 정보유출 사고가 터진 후에야 부랴부랴 개선에 나섰습니다.
금융사의 개인정보보호 실태를 감독해야하는 금감원도 문제가 있었습니다.
금감원은 정보유출 사고가 발생한 카드사와 캐피탈사 4곳에 종합검사를 나가고도 인력이 부족하다는 이유로 검사를 태만히 했습니다.
한 카드사 검사시에는 용역업체 PC에 보안프로그램이 설치되지 않았다는 것을 알았는데도 용역업체 PC 1대만 검사하고 모든 PC에 보안프로그램이 설치된 것으로 판단해 결국, 용역업체 직원이 개인정보를 유출하는데 결정적인 역할을 했습니다.
감사원은 금감원이 검사업무를 제대로 하지 않아 4개 금융사에서 개인정보 4천569만건의 유출을 막을 수 있는 기회도 날렸다고 설명했습니다.
감사원은 이번 감사결과를 통해 금융위원장에게 개인정보가 무분별하게 수집되거나 유출되는 일이 없도록 주의를 요구했습니다.
또한, 금감원장에게는 금융사에 대한 개인정보 보호 검사업무를 게을리 한 금감원 직원 2명을 문책하고, 6명에게는 주의조치를 내리라고 지시했습니다.