카드 고객이 잘 모르는 제휴사로 개인 정보가 넘어가 부적절한 마케팅이나 금융사기에 이용되는 행위가 엄격히 제한된다. 금융그룹 자회사들끼리 고객 정보를 함부로 공유하는 행위도 엄격히 통제된다.
카드사들이 자사 계열사를 포함해 1000여 개 제휴업체에 대규모 고객 정보를 제공하면서도 정작 사후 관리는 엉망인 것으로 드러났기 때문이다.
카드 제휴업체인 신용평가사 직원이 1억여건의 카드 고객 정보를 유출한 것은 빙산의 일각에 불과하다는 지적까지 나올 정도다.
20일 금융권에 따르면 금융감독원은 이르면 이달 말에 카드 가입 신청서를 전면 개정해 고객이 개인 정보 제공을 원하는 제휴업체만 선택해 가입할 수 있도록 할 방침이다.
'관련 제휴사 등'과 같이 포괄적인 문구 대신 해당 업체명을 기재하고 마케팅 목적 제공에 대해서는 고객이 명확히 인지할 수 있게 표시하도록 할 계획이다.
현재 신용카드를 발급받으려면 무조건 개인정보를 카드사가 제3자에게 제공할 수 있도록 동의해야 한다.
일단 동의만 하면 자신도 모르는 제휴사들에 신상 정보가 흘러들어 가게 된다.
이에 따라 금융당국은 카드 가입 신청서에 제휴사별로 동의란을 신설해 고객이 원하는 제휴사에만 정보 제공이 가능할 수 있도록 할 예정이다.
기존 카드 고객에 대해서도 갱신 시나 재발급을 하는 경우 이런 방식을 적용하도록 카드사에 지도할 방침이다.
제휴사의 마케팅 활용 목적이 포함된 개인정보 제공 동의서에는 정보 이용 기간을 기재하도록 할 계획이다.
'계약 체결 후 3년' 또는 '개인정보 수집일로부터 1년' 등이다.
앞서 금감원은 지난해 말 카드사의 제3자 정보 제공 실태에 대해 집중 점검을 벌인 바 있다.
이는 최근 1억400만건의 카드 정보 유출 확인 과정에서 10년전 해지한 고객의 정보가 털리는 등 제휴업체가 고객 정보를 폐기하지 않고 악용하는 정황이 적지않게 포착됐기 때문이다.
현재 신한카드, 국민카드, 삼성카드, 롯데카드, 현대카드, 하나SK카드, 우리카드, 비씨은행, 농협은행이 제휴를 맺고 고객 정보를 제공하는 업체만 1000여개에 달한다.
최근 대규모 정보 유출로 곤욕을 치른 국민카드는 자사 고객 정보를 제휴하는 업체만 102개사에 달한다. 맥스무비, 구세군, 대한적십자사, 한국전력공사, GS칼텍스, 서울대 총동창회, 대한항공, 현대홈쇼핑, BS캐피탈, 팜스넷, 이지스엔터프라이즈, SPC네트웍스 등 열거하기가 힘들 정도다.
'KB국민 해피nori' 카드에 가입하면 SPC네트웍스로 고객 발급 정보, 카드번호, CI번호, 성명, 주소, 연락처, 직장 주소, 직장명, 직장 전화번호, 카드 발급일자, 카드 상태까지 통째로 넘어간다.
농협카드도 코스콤, 인포바인, 한국스마트카드, 롯데월드, 아시아나항공, 이비카드, 웹케시 등으로 고객 정보를 넘기고 있다.
이들 제휴업체에 넘어간 카드 고객 정보는 제휴 기간이 끝난 뒤 폐기 여부를 카드사가 관리·감독을 해야 하지만 전혀 안되고 있다.
카드사의 제휴업체가 수시로 바뀐다는 점도 문제다.
이에 대한 공지는 홈페이지 내 고객이 찾아보기 어렵게 만들어 은폐하는 수법을 쓰고 있다.
고객으로서는 자신도 모르는 업체에서 정보가 활용되는 셈이다.
한 카드사 관계자는 "현재 제휴업체가 정보를 사용할 수 있는 기간이 정해져 있으나 폐기 여부는 해당 업체가 보내는 공문이 전부"라면서 "유효 기간이 지나면 고객 정보가 자동으로 폐쇄되는 조치도 안돼 있다"고 전했다.
카드사의 개인정보 처리업무 위탁 업체에 대한 부실 관리도 문제다.
국민카드만 하더라도 개인정보 위탁업체가 카드모집인, 국민은행, 테라넷, 고려휴먼스, 유베이스, 동양EMS, 제니엘시스템, 고려신용정보, 한국사이버결제 등 70개사에 달한다.
이들 카드 제휴업체뿐 아니라 금융당국은 금융그룹 내 자회사간 고객 정보 이용도 통제할 방침이다.
이번 국민카드 정보 유출 과정에서 계열사인 국민은행 고객의 정보도 수백만건이 빠져나간 사실이 확인됐기 때문이다.
수십개 계열사 중 한곳만 뚫려도 해당 금융그룹 전체의 고객 정보가 위험할 수 있다는 의미다.
금융그룹은 2011∼2012년 40억건의 고객정보를 자회사에 제공했고 이 가운데 13억건은 고객 본인이 가입하지 않은 자회사가 마케팅 목적으로 이용했다.
이번 카드사 대규모 유출 과정에서도 자회사간 고객 정보 공유가 문제가 됐다.
현행 금융지주회사법에 따르면 금융그룹 내 은행, 카드사, 보험사 등은 보유한 고객정보를 개인 동의 없이 그룹 내 다른 회사에 영업상 이용하게 할 목적으로 제공할 수 있다.
금융당국 관계자는 "이번 카드사 정보 유출건으로 시중은행까지 타격을 받는 등 금융그룹 내 정보 공유가 큰 문제가 됨에 따라 이를 제한할 방침"이라고 덧붙였다.
이와 관련해 금융당국은 금융지주사 계열사 간 정보 공유의 문제점을 파악하고자 금주 중에 관련 회의를 긴급 소집하기로 했다.
특히, 최근 카드사를 통한 계열은행 고객정보 유출을 계기로 관련 규정의 개정 필요성에 대한 목소리가 높아진 상황이어서 이에 대한 논의가 주목된다.
다만, 금융당국은 영업 목적의 계열사 정보공유를 허용한 금융지주사법 손질 여부에 대해 신중한 태도를 보이고 있다.
법 개정을 논하기 전에 고객정보를 주고받는 것이 문제인지 카드사 등 일부 계열사의 정보보호 시스템과 내부통제 체계에 문제가 있는지를 가려내는 게 우선이라는 입장이다.
한경닷컴 뉴스룸
기사제보 및 보도자료 open@hankyung.com
뉴스