[쿠키 경제] “앞으로는 금융소비자의 개인정보가 더욱 두텁게 보호되는 한편, 금융기관 현장 실무자들의 개인정보보호 업무 부담이 완화될 것으로 기대된다.” 금융위원회와 금융감독원, 안전행정부는 지난해 8월 1일 ‘금융분야 개인정보보호 가이드라인’을 발간하며 이렇게 공언했다. 금융회사 해킹과 개인정보 유출 사건으로 국민 불안감이 컸지만, 가이드라인이 마련된 만큼 이제 불편이 해소될 것이라는 자평이었다.
해소될 것이라는 국민 불안감은 극에 달한 상태다. 성난 여론과 대통령의 귀국 일정에 밀려 정부가 22일 부랴부랴 합동 발표한 ‘금융회사 고객 정보 유출사건 재발 방지 대책’은 그나마 그간 제시됐던 여러 대책의 동어반복 격이다. 추가적인 내부 검토와 관계부처 협의가 필요한 것도 많다. 금융회사의 관리 책임 등의 부문은 금융당국 스스로 입장을 번복 셈이 됐다는 지적도 있다.
동어반복 재탕
금융당국의 재발 방지책은 지난 17일 근본적인 재발 방지책을 마련하겠다며 태스크포스(TF)를 꾸린 지 정확히 5일 만에 발표된 만큼 급조 수준을 벗어나지 못하고 있다. 개인 정보를 유출한 금융회사와 최고 경영진(CEO)에 대한 사후적인 처벌 강화가 있을 뿐 반복되는 사고를 근본적으로 막을 핵심적인 대책은 제시되지 못했다. 금융소비자원 조남희 대표는 “금융당국과 금융회사 입장에서의 대책일 뿐 소비자 관점에서는 심각성을 제대로 인식하지 못했다”며 “정부는 아직도 문제의 핵심을 모르고 있다”고 일갈했다.
금융노조가 이번 사건의 본질로 진단하기도 했던 대출모집인의 고객정보 유통 관행 방지책은 “고객정보를 불법 유출, 사용한 대출모집인은 자격을 박탈하고 향후 타 업권 모집인 등록도 제한하겠다”는 게 전부다. ‘원 스트라이크 아웃’이란 말로 포장됐을 뿐 금감원이 2012년에 발표한 내용이다. 당시 금감원은 대출모집인의 금융소비자 피해를 막겠다며 “금융업협회 불량해지 등록요건을 명확화하고 협회간 공유를 활성화해 불건전 모집인의 조기 퇴출을 유도하겠다”고 밝혔었다.
신 위원장은 또 사고 재발방지 방안으로 “금융회사가 필요 최소한의 정보만 보관토록 해 만일의 정보 유출 시에도 피해를 최소화하겠다”고 밝혔다. 하지만 개인정보 수집 범위를 제한한다는 것은 수차례 반복된 대책이다. 금융당국과 안전행정부는 지난해 8월 이미
‘금융분야 개인정보보호 가이드라인’을 제시하며 “신용도 판단에 무관한 개인신용정보 수집을 금지한다”고 밝혔다.
대책에 고객정보의 제3자 제공 제한 방안이 포함돼 있지만 이 역시 구체화된 것이 없다. 신 위원장은 “동의서에 정보제공대상 회사를 개별적으로 명시해야만 정보를 제공 가능토록 하겠다”고 했다. 하지만 이는 지난해 11월의 매뉴얼에 언급된 내용을 다시 말한 것뿐이다. 매뉴얼은 “개인정보를 제공받는 해당 업체명을 정확히 기재한다” “특히 마케팅 목적 제공의 경우 고객이 명확히 알 수 있도록 구체적으로 표시한다”고 안내하고 있다.
이 외에 카드번호와 유효기간만으로 결제 가능한 학습지, 홈쇼핑 등에 휴대폰인증 등의 추가 본인 확인 수단을 도입하고 보이스피싱, 스미싱 등에 이용되는 전화번호 차단도 추진키로 했지만, 이 대책들은 이번 카드사 정보유출 사고에 따른 국민 불안 대책이다.
갈팡질팡 뒷걸음질도
지난해 8월 “중복되는 규제를 완화해 금융회사의 부담을 완화했다”고 자랑하던 금융당국은 5개월여 만에 말을 뒤집었다. 신 위원장은 이날 “사고 카드사에 대해 관련 법령상 최고 수준의 제재를 다음달 중 부과하도록 하고, 임직원에 확실한 책임을 물을 것”이라고 강조했다.
불과 2개월여 전에는 금융당국이 장려하던 금융 정보활용 기조가 엄격한 제한으로 급변한 것도 땜질식 처방의 부작용으로 꼽힌다. 정부는 금융지주사 계열사들의 과도한 정보교류를 막고, 꼭 필요한 정보만을 수집토록 한다고 천명한 상태다.
하지만 지난해 11월27일 금융위는 ‘금융업 경쟁력 강화 방안(금융비전)’을 발표하며 “금융회사와 신용정보사에 축적된 정보를 집중·융합해 새로운 정보를 발굴해내도록 정보의 가공·활용을 촉진하는 방안을 마련하겠다”고 했었다. 금융회사가 활용하는 신용정보 범위를 확대하고, 신용정보회사의 업무범위도 키워주기로 했다. 이때 언급된 신용정보회사의 대표 주자는 이번 사태를 촉발한 코리아크레딧뷰로(KCB)다.
지루하게 기존 대책이 되풀이돼 제시된 반면 전화금융사기 활용 방지 등 국민 불안을 잠재울 세부 대책은 미비했다는 것이 이날 정부 브리핑에 대한 평가다. 이날도 금융당국은 “추가 유출, 실제적인 금액 피해가 없다”고 사태 진화에만 애쓰는 모양새였다.
금융사 정보유츨 재발방지 대책 발표… 수습에 급급한 금융당국
정부가 금융사의 고객정보 유출 재발 방지를 위해 사고 발생 금융사에 대한 제재를 크게 높이는 내용의 대책을 22일 발표했다. 그러나 개인 정보 불법 유통시장 근절 등 근본적인 예방 대책은 기존에 있던 것의 ‘재탕’이거나 추가 논의가 필요한 것들이 대부분이다. 당장 들끓는 국민 여론을 달래자고 설익은 채로 처방을 내놓는 데 급급했다는 비판이 높다.
금융당국이 이날 내놓은 ‘금융회사 고객정보 유출재발 방지 대책’에 따르면 앞으로 고객의 개인정보 유출사고를 낸 금융사는 최대 6개월의 영업정지 등의 제재를 받게 된다. 이번 카드사 정보유출 사고 중심에 있었던 KCB와 같은 신용정보사에 대한 기관 제재 방안도 추진된다. 또 불법 수집·유통된 개인정보를 활용해 이익을 본 금융사에 대해서는 그로 인한 매출액의 1% 수준의 징벌적 과징금을 부과할 수 있다. 금융당국은 설사 개인정보 유출로 인한 이익이 없더라도 금융사 정보 유출 자체가 갖는 사회적 파장을 감안, 최대 50억원까지 과징금을 부과하는 방안도 추진키로 했다. 그러나 사상 최악의 개인정보 유출 사고를 낸 KB국민·롯데·농협카드에 대해서는 최대 징계가 최고경영자(CEO) 해임권고, 영업정지 3개월 정도일 전망이다. 제재 강화 방안은 법 개정이 필요해 소급 적용할 수 없기 때문이다.
금융사 제재를 강화하는 것 외에 대책의 초점은 홈쇼핑 등의 본인확인절차를 강화하는 등 이번 카드사 정보 유출 사고의 수습방안에 맞춰져 있다. 신제윤 금융위원장도 대책 발표에서 “정부는 무엇보다도 사회적 혼란을 조속히 수습하고 국민의 불안감과 불편함을 해소하는데 역량을 집중하겠다”고 누차 강조했다.
정작 중요한 과제였던 금융사의 과도한 개인정보 수집 제한 방안은 지난해 발표한 대책에 포함된 수준에 그쳤다. 이마저도 현행 금융회사의 정보보호 실태를 전면 점검이 먼저 이뤄져야 하는 상황이다. 금융사가 계열사와 고객 정보를 공유할 때 고객 동의를 얻도록 했지만, 이는 이사회 승인 등의 절차를 거칠 경우 예외가 될 수 있다. 제 3자에 대한 정보 제공을 엄격히 한다고 했지만, 구체적 기준은 마련되지 않은 상태다. 개인정보의 불법 유출한 대출모집인의 자격을 박탈하고 금융회사의 관리적 책임도 묻도록 한 것 역시 새로운 대책이 아니다. 가장 근본적인 문제로 꼽힌 개인정보의 불법 유통 시장을 근절할 근본대책은 포함되지 않았다. 금융위 고위 관계자는 “보다 구체적이고 근본적인 대책은 관계부처 합동으로 하는 태스크포스(TF) 회의를 통해 보완해야한다”고 말했다.
국민일보 쿠키뉴스 조민영 기자 mymin@kmib.co.kr
