<앵커>
3개 카드사에서 대규모 개인정보유출이 발생한 것과 관련해 정부가 재발방지를 위한 종합대책을 발표했습니다. 정보유출에 대한 처벌과 금융회사의 정보관리에 대한 감독이 강화됩니다. 금융위원회에 나가 있는 취재기자 연결해 보겠습니다. 최진욱 기자, 오늘 종합대책의 핵심은 뭔가요?
#최진욱 기자 전화연결
<기자>
정부가 발표한 대책은 정보수집과 공유를 엄격하게 제한하고 이를 어기는 금융회사에게는 철퇴를 내리겠다는 것입니다.
먼저 정부는 현재 최대 50여개 항목에 이르는 금융회사의 정보수집을 개선해 개인식별만 가능한 최소한의 정보만 수집하도록 할 방침입니다.
또 거래가 종료된 고객의 정보는 5년만 보관하도록해서 이번과 같은 대규모 정보유출을 막을 계획입니다.
금융지주회사의 계열사 정보공유는 내부경영관리에만 사용하도록 하고 제3자에 대한 정보제공은 고객의 포괄적 동의가 있을 경우에만 허용하기로 했습니다.
제3자에 대한 정보제공 동의가 없더라도 금융회사의 상품과 서비스 가입이 가동하도록 관련 법령도 정비할 예정입니다.
개인신용정보를 관리,보관하는 금융회사가 법령을 어길 경우에는 강력한 처벌을 하기로 했습니다.
금융회사의 내부통제를 강화하고 CEO가 이를 직접 챙기도록 했고, 사고가 발생하면 CEO에게도 책임을 묻게 됩니다.
징벌적 과징금 제도를 도입해 정보유출로 이득을 얻거나 사회적 파장을 일으킬 경우 거액의 과징금을 부과해 일벌백계하기로 한 것입니다.
특히 이번에 사고가 발생한 3개 카드사의 전현직 경영자와 회사에 대해서는 법률상 최고한도의 제재를 내리겠다는 원칙을 밝히기도 했습니다.
정부는 이번 사태와 관련해 필요한 법개정은 2월 임시국회부터 추진하고 늦어도 상반기 중에는 제도정비를 마칠 예정입니다.
또 국민불안감을 해소하기 위해 24시간 대책반을 가동하기로 했습니다.
하지만 사건의 단초를 제공했던 KCB를 처벌하거나 제재할 규정도 없는데다 고객들의 피해보상에 대해서는 검토사항이라고 밝혀 알맹이는 빠진 대책이 아니냐는 분석도 나옵니다.
예정보다 급하게 준비된 대책이다 보니 곳곳에 허점이 있다는 지적도 나옵니다.
지금까지 금융위원회에서 한국경제TV 최진욱입니다.
#홍헌표 기자 리포트
<앵커>
정부의 정보유출 재발방지대책에 대해 시민들의 반응은 싸늘합니다.늑장대응이라는 비판과 함께 연이어 터진 금융 사고를 막지 못한 금융당국의 무능함도 질타했습니다. 홍헌표 기자가 현장의 목소리를 전해드립니다.
<기자>
피해 고객들은 금융당국의 늑장대응에 분통을 터뜨렸습니다.
<인터뷰> 박 모씨 주부(47세)
"우리나라 법이 잘못됐고 매번 사후약방문식 대책이다. GS칼텍스 사고 때도 솜방망이 처벌이었고 정부와 국회의원도 문제다. 법을 제대로 만들어야 하는데 은행과 카드사에서 로비하면 법을 강하게 만들지 않는다"
지난 2008년 GS칼텍스와 지난해 한화손보와 메리츠화재에서도 고객정보유출 사고가 발생했습니다.
이미 대규모 사고 징후 있었음에도 처벌 수위가 너무 낮아 화를 키웠고, 국회와 금융당국의 대책에도 총체적으로 문제가 있었다고 주장하는 겁니다.
시민들은 2차 피해에 대한 불안감도 상당했습니다.
<인터뷰> 김두희 씨 (69세)
"아직은 2차 유출이 안됐다고 하지만 시간이 더 지나봐야한다. 해외에서 쓰면 어떡하느냐. 완전히 늑장대응이고 예전부터 금융권 정보유출이 많았는데 대책마련도 안하고 있었다. 금융당국은 썩었다. 동양사태도 터지고 우리나라 금융당국은 믿음이 안간다"
2차 피해가 없다고 말하는 금융당국을 믿을 수 없다는 이야깁니다.
카드 재발급을 실시한 지 닷새째.
카드사 영업창구에는 여전히 사람들이 몰려 전쟁터를 방불케 했습니다.
카드가 새로 나오는데 1주일씩 걸리자 일부 고객들은 카드 긴급정지를 신청하기도 합니다.
2차 피해가 없다는 발표에도 시민들의 불안감은 여전해 이날 정오까지 재발급 및 해지건수는 200만건을 넘었습니다.
카드사들은 지난 20일 정신적 피해보상에 대해서도 보상하겠다고 했지만, 하루만에 언제 그랬냐며 발뺌하는 모습입니다.
정부의 사후약방문식 대책과 늑장대응에다, 카드사의 말바꾸기로 시민들의 불안감은 점점 분노로 바뀌고 있습니다.
한국경제TV 홍헌표입니다
#이근형 기자 리포트
<앵커>
입이 열개라고 할 말이 없는 금융회사들, 일단 정부 제재안을 순순히 따르겠다며 몸을 낮추고 있습니다.계속해서 이근형 기자입니다.
<기자>
개인정보 유출사고에 연루된 KB금융과 농협, 롯데카드는 3개월 영업정지에 과징금까지 물게되자 망연자실한 모습입니다.
법령상 최고 수준의 중징계가 내려지게 되면서 카드 3사는 큰 타격을 입게 됐습니다.
다음달부터 3개월간 카드 3사에서는 기존에 발급된 카드는 정상 운용되지만 신규발급은 할 수 없게 됩니다.
[인터뷰] 유출 카드사 관계자
“신규카드 발급이 안되니 아무래도 영업적으로 마이너스 요인으로 될 것 같습니다.”
게다가 이들 3사 모두 카드사CEO와 관련 임원들이 해임되고 고객 신뢰마저 잃게 되면서 앞으로 카드영업 전반에 차질이 불가피해졌습니다.
한편 다른 금융사들은 정부대책에 수긍하며 따르겠다는 반응입니다.
금융사들은 탈회 고객정보를 분리해 관리하는 방안과 제3자 정보제공시 원칙 등을 차질없이 이행하겠다고 전했습니다.
또 자체 보안 점검을 비롯해 캠페인과 직원교육 등 임직원들의 개인정보 보호 인식을 강화하기 위한 활동도 금융권 공동으로 추진하고 있다고 밝혔습니다.
하지만 일각에서는 정부의 이번 대책 대부분이 사실상 이미 준수돼 왔던 사안으로, 당국이 감독책임은 간과한 채 지나치게 금융사 제재에만 치중하는 것 아니냐는 지적도 나오고 있습니다.
한국경제TV 이근형입니다.
<앵커>
취재기자와 이야기 나눠보겠다. 정치경제팀 김정필 기자 나와 있습니다. 정부에서 최고 한도 수준의 제제와 징계 강화라는 조치를 내놨습니다. 그만큼 사태의 심각성을 반증하고 있다고 볼 수 있는 데 예상했던 수준인가? 아니면 예상 보다 강도가 쎈 것인가?
<기자>
예상했던 범위의 최상단 수준의 조치, 제제 방침이라고 보면 될 것 같습니다.
그만큼 상황이 사상 최악의 국면으로 치달으면서 금융당국도 벼랑끝 상황에 내몰린 것을 반증하고 있는 셈입니다.
세부 내용을 보면 개인정보 유출 사고와 관련해 당국은 영업정지와 형사처벌, CEO 해임, 막대한 과징금 등 최고 수준의 중징계를 내놓았습니다.
시종일관 어두운 표정이었던 신제윤 금융위원장은 "이번 고객정보 유출사건은 보안절차만 잘 준수했더라도 막을 수 있었던 전형적인 인재"로 규정하고 "엄중한 책임소재 규명과 강력한 제재 조치가 불가피하다"고 밝혔습니다.
일단 금융당국은 이번 사태를 초래한 KB, 농협, 롯데카드 등 카드사에 대해 3개월 영업정지 조치를 내리기로 했는 데 이는 현행법상 내릴 수 있는 최고한도 수준의 제제로 보시면 됩니다.
이와 함께 사고발생 당시 전·현직 관련 임직원에 대해서도 해임권고와 직무정지 등 중징계를 내리는 내용도 포함됐습니다.
처벌 등 징계 강화 외에도 앞으로 이번 개인정보 유출 사태와 같은 사고를 예방하기 위해 사후 제재를 대폭 강화하고 징벌적 과징금제도를 도입하기로 했습니다.
개인정보를 불법으로 유출한 금융사에 대해서는 사회적 파장을 감안해 최고 50억원의 징벌적 과징금이 부과됩니다.
개인정보유출을 근본적으로 막기 위해 금융회사가 ’최소한`의 정보만 보유하도록 하는 한편 금융지주 내에서 공유하는 고객정보 활용도 제한할 계획입니다.
이번 대책에 대해 전문가들 사이에서는 ‘적절하다’ ‘인적 처벌에만 급급한 다소 미흡한 허점 투성이 대책’라는 등 견해가 엇갈리고 있습니다.
# 함준호 연세대학교 교수 전화인터뷰
<앵커>
이번 개인정보유출과 관련해 전문가와 이야기 나눠보겠다. 함준호 연세대학교 국제대학원 교수 전화로 연결돼 있다. 함 교수님 정부가 종합대책을 내놓았다. 근본처방으로 볼 수 있는지?
<답변>
금융은 신뢰를 기반으로 하고 있습니다. 이번 사태는 카드사만의 문제가 아니라 전체 금융시스템 무너졌다는 폐해가 있다는 점을 유념할 필요가 있습니다.
정부 안도 금융시스템에 대한 전반적 불신, 금융 불안으로 확산되지 않도록 하는 안을 포함하고 있습니다.
필요하지 않은 최소한의 정보 수집이나 정보 공유, 불법 유출과 관련한 사후대책의 경우는 실효성이 있어 보입니다.
여태껏 발생했던 사고들의 경우는 해커 등 외부침입이나 전산 오작동인 반면 이번 사태는 내부직원과 용역직원 등 내부통제 시스템에 따른 문제 였다는 점이 심각합니다.
이러한 규정과 보안절차 준수하지 않으면 소용없다는 것을 보여주는 사례라고 할 수 있겠는데요.
관행과 신분 등 절차와 메뉴얼 무시한 문제 등을 개선해 나가지 않으면 재발 가능성이 있다는 것을 유념하고 금융사들의 윤리의식 강화, 자가반성의 계기로 삼아야 할 것으로 보고 있습니다.
<앵커>
대책 중에서 어떤 부분이 미흡하고 보완돼야 할 것으로 보시는 가?
<답변>
지금 말씀 한 것 처럼 이번에는 일단 처벌 사후적제제, 내부통제 강화에 치중한 면 있는데요.
중장기적 대책 마련을 위한 TF를 만들어서 어느 정도 정보 공유와 수집이 돼야 하는 지 고민해야 합니다.
사실상 마케팅 목적의 정보 공유를 암묵적으로 강요받는 등 과도하게 정보가 수집, 유통 됐는 데 시정돼야 하고 소비자 입장에서 정보 공유하면 정확한 신용평가 가능하고 금융 접근성이 높아지는 좋은 점도 있다는 점을 간과해서는 안될 것입니다.
정보를 수집 공유하는 데 있어서 효율성과 유출에 따른 위험 비용 등을 잘 고려해서 잡근해야 할 문제라고 보고 있습니다.
금융 효율성, 금융사 관점에서 운용해온 측면이 있는데 안정성과 소비자 측면에서 소집 유통 이런 문제가 없는 것이 지 재점검해봐야 할 시점이라고 보고 있습니다.
<앵커>
금융당국과 감독기구의 책임론이 거세다. 이 부분에 대한 견해는?
<답변>
관련 카드사 대상으로 조사 이뤄지고 있는 것으로 알고 있습니다.
자세한 규명 이뤄질 텐데 직원의 내부절차 이런 문제가 아니라 보안 시스템 자체, 내부통제 시스템 자체에 구멍이 있었다면 당국도 책임 면하기 어렵다고 봅니다.
절차나 시스템 근본 문제 아닌 것으로 보여지는 만큼 객관적인 평가 필요할 듯 하고 문책도 중요하지만 금융시스템 문제와 신뢰 회복이 급선무인것 같습니다.
<앵커>
다시 취재기자와 이야기 해보겠다. 이번 대책에 대해 전문가들과 시민단체 대다수 여론의 동향은 어떤가?
<기자>
이번 대책 발표에도 불구하고 여론은 싸늘하기만 합니다.
개인정보유출 사고 방지를 위한 종합대책과 관련해 전문가들은 징벌적인 조치나 배상 관련 패널티를 높이는 것은 맞지만 금융
계열사간 정보공유 차단 만큼은 다소 신중해야 한다는 반응입니다.
이와 함께 “향후 개별 금융기관이 정신적인 무장 여부가 관건이 될 것”이라며 “윤리의식과 연관된 후속 조치나 내부통제 강화가 뒤따르지 않는다면 대책은 소용없게 된다”는 점을 지적했습니다.
반면 시민단체들은 이번 대책이 미봉책에 불과하다며 사태와 관련된 인사들의 일괄사퇴, 금융 계열사간 정보공유 차단 등 보다 근본적 재발방지 대책을 마련하라고 촉구했습니다.
“지주사 산하 계열사 간에 공유를 못하게 하는 것은 금융지주사를 만든 취지가 퇴색되는 것이라 금융당국이 부담스러울 수 있다”며 “기본적으로 가능성은 열어놓되 시스템 교류시 개인 고객의 동의를 얻는 부분을 강화해야 한다”는 견해도 제시됐습니다.
은행과 카드사 창구를 찾은 고객들은 대책 발표 이후 “책임자를 문책 해야한다” “늑장대응을 하고 있다” “금융당국이 무능하다” “동양사태 때도 이랬는 데 제대로 하는 게 무엇이냐” 등 책임론을 성토했습니다.
여론의 추이 등을 감안할 때 금융당국과 감독기구, 금융사 문책, 보완 대책의 실효성 여부를 둘러싼 논란은 당분간 끊이지 않을 전망입니다.
#조규곤 지식정보보안산업협회 회장 전화 인터뷰
<앵커>
이번 대책은 완결판이라기 보다는 극도의 불안감을 느끼는 국민들의 심리를 안정시키기 위한 선제적인 조치로 볼 수 있습니다. 예방과 처벌 강화 외에 시스템 적인 보완이 시급하다. 시스템 적인 문제는 없는 것인지 보완할 부분은 없는 지 전문가와 이야기 나눠보겠습니다.
조규곤 지식정보보안산업협회 회장 전화로 연결돼 있습니다. 조 회장님 먼저 보안업계에서 볼 때 기술적으로 봤을 때 국내 정보유출 사고가 잦은 이유를 어디에서 찾을 수 있나요?
<답변>
기술적인 문제라기 보다는 보안에 대한 인식과 투자가 낮은 것이 문제로 보입니다.
보안 사고 이슈가 터지면 전체적인 보안 수준을 높이는 방안이 마련되는 것이 아닌 해당 위기를 모면하기 위한 특정 보안 솔루션만 도입되는 경우가 대부분이기 때문에 이런 문제가 되풀이 되고 있는 것으로 볼 수 있습니다.
<앵커>
해외사례는 어떤지 궁금하다. 사례별로 설명해 주신다면?
<답변>
해외의 경우, 법적인 제재가 정보가 유출될 경우 해당 기업이 법적인 책임을 진다라는 정도의 상위 개념만 언급돼 있어 기업의 보안 수준 향상을 위한 보안 투자가 지속적으로 이루어 지고 있습니다.
반면 국내의 경우, 법적인 제재가 구체적인 항목 즉 암호화나 접근제어, 망분리 등으로 언급돼 있어 오히려 해당 솔루션만 도입되면 문제가 해결되는 것으로 인지돼 오히려 보안의 빈틈이 생길 수 있는 점을 고려해 봐야 합니다.
<앵커>
결론적으로 이번 대책 외에 시스템 적으로 어떤 것들이 추가돼야 한다고 보는 가?
<답변>
지난 몇 년간 발생한 금융권 정보 유출 사고는 대부분이 사이버 해킹에 의해 발생해왔으며, 무차별적으로 공격을 시도하던 전통적 방식의 해킹을 넘어 최근에는 특정 기업을 타깃으로 장기간 지속적으로 공격하는 APT(지능형지속공격) 공격으로 진화해 오고 있습니다.
이를 위해 그 동안 금융권에서는 고도화, ?지능화되고 있는 사이버 해킹 방지를 위한 투자에 집중하고 있습니다.
하지만 최근 일어난 금융 사고들은 내부자에 의한 정보 유출이 주를 이루고 있는데요.
이미 충분한 정보를 가지고 있는 내부자의 경우, 사이버 해킹과는 비교가 안 될 만큼 더욱 정교하고 세밀한 내부자 유출 방지 대책 및 꾸준한 관리가 필요하지만 이에 대한 투자는 여전히 부족한 상황입니다.
효율적인 내부자 유출 방지를 위해서는 데이터에 대한 지속적인 보안이 필요한 데 즉 보호되어야 하는 데이터가 PC나 서버에 저장되거나, 혹은 사용 중이거나 유통되는 경우에도 데이터는 지속적으로 보안이 유지돼야 합니다.
금융권을 비롯해 중요 정보를 보유하고 있는 기업이나 기관에서는 해킹 방지를 위한 대책과 함께 지속적으로 데이터를 보호할 수 있는 보안 솔루션에 대한 투자와 관리가 필요하다고 할 수 있습니다.
<앵커>
다시 취재기자와 다시 이야기해 보겠습니다. 이 같은 조치에도 불구하고 고객정보유출 사건에 따른 국민들의 불안감은 쉽사리 가시지 않고 있습니다. 신뢰가 생명이라는 금융에서 있을 수 없는 일이 벌어지고 있는 데 2차 피해와 사태 수습을 위한 일련의 조치들은 어떻게 진행되고 있는가?
<기자>
이번 대책은 당초 세부적인 안을 고려해 다음달 중 발표가 예정됐었지만 해외 순방중인 박대통령이 재발 방지 대책 마련을 지시한 이후 급하게 이뤄진 측면이 있는데요.
오전 당정협의회 이후 당 일각에서는 “재발 방지책의 경우 어느 정도 일치를 봤지만 가장 우려가 되는 2차 피해에 있어서는 당국과 이견을 보였다”는 견해 마저 나왔습니다.
결국 2차 피해 여부와 사태 확산 방지를 위한 추가적인 보완책 마련이 시급하고 이같은 일련의 조치 시행에 착수할 것으로 보입니다.
국회에서도 그동안 관련법 미비에 따른 안전장치 마련을 위해 2월 국회에서 법적 안전장치 마련에 나설 예정입니다.
정치권 일각에서는 국정조사를 추진해야 한다는 목소리가 높아지고 있고 책임자 문책을 주장하고 있어 신제윤 금융위원장과 최수현 금감원장의 거취도 관심사입니다.
금융수장의 거취와 함께 이번 대책의 경우 이미 발생한 사고에 대한 소급적용이 법적으로 어렵다는 점은 향후 두고두고 논란거리를 양산하게 될 것으로 보입니다.
항상 뒷북행정, 사후약방문, 소잃고 외양간 고치기라는 지적에서 벗어나지 못하는 가운데 추가 피해 방지를 위해서라도 이번에는 약 잘 쓰고 외양간도 제대로 고치는 등 보완책 마련에 역점을 둬야 할 것입니다.
<앵커>
정치경제팀 김정필 기자였습니다.