정부가 22일 내놓은 '고객정보 유출방지 종합대책'은 가능한 모든 내용이 백화점 식으로 담고 있다. 이번 대책은 개인정보 유출을 사전에 예방하는 내용보다는 사후에 처벌을 강화하는 데 무게가 실렸다.
확 높이는 제재 수준
정부는 우선 규정을 개정해 유출된 개인정보 건수에 따라 해당 금융사 최고경영자(CEO)를 포함한 임원을 해임할 수 있는 제재 기준을 마련하기로 했다. 세부적인 건수 기준은 향후 태스크포스(TF)에서 확정할 예정. 개인정보를 유출한 사람에 대한 형벌도 10년 이하 징역 또는 5억원 이하로 금융 관련법 최고 수준으로 상향된다.
과징금도 높이기로 했다. 불법 수집·유통된 개인 정보를 활용해 영업 활동을 한 금융사는 앞으로 관련 매출액의 1%까지 과징금을 부과하기로 했다. 만약 빼낸 정보를 직간접적으로 이용해 1조원의 매출을 올렸다면, 최대 100억원의 과징금을 매기겠다는 것이다.
이번 카드사 개인정보 유출사태처럼 개인정보가 빠져나간 금융사에 대한 과징금 수준도 현행 600만원에서 최대 50억원까지로 대폭 상향한다. 관련 위반자에 대한 과태료도 기존 1,000만원에서 5,000만원으로 확대한다.
최대 영업정지 3개월인 금융사 기관제재도 6개월로 늘린다. 고객정보를 불법 유출해 사용한 대출모집인은 자격이 박탈된다. 특히 해당 업권 만이 아니라 다른 업권 모집인으로도 등록을 할 수 없게 된다.
정보 수집 최소화
정부는 성명, 주소 등 필수 정보와 신용 등급 산정에 필요한 정보 외에는 특별한 경우가 아니면 금융사들이 수집하지 못하도록 할 방침이다. 금융사는 현재 고객 전화번호와 주소 등 평균 20여개 항목, 많은 경우 약 50여개 항목의 정보를 수집하는 것으로 알려졌다. 이를 10여개 수준으로 대폭 축소한다는 방침이다.
또 현재 5~10년인 금융사의 개인신용정보 보유 기간을 '거래 종료일로부터 5년'으로 제한할 방침이다. 거래가 종료된 고객 정보는 방화벽을 설치해 별도로 분리하고, 해당정보를 마케팅에 활용 할 수 없도록 한다. 특히 거래 종료 고객이 요청하면 불필요한 자료를 삭제하고 보관이 필요한 정보는 암호화해 별도 보관하도록 할 방침이다.
정부는 이와 함께 금융사가 제3자에 정보를 제공하는 행위를 원칙적으로 막기로 했다. 지금까지는 제3자에게 정보를 제공하는 것에 동의하지 않으면 아예 회원가입 등 기본적인 서비스조차 이용하지 못하는 경우가 많았지만, 앞으로는 정보 제공 시 고객 동의를 하나하나 구하도록 할 계획이다. 제3자가 취득한 정보 활용기간은 5년 또는 서비스 종료 시 등 구체적으로 명시하고 마케팅 목적의 활용은 원칙적으로 제한한다. 이번에 KB국민카드에서 국민은행 고객 정보가 유출된 점을 감안해 같은 계열사라 해도 신용위험관리 등 내부 목적 외의 개인정보 공유는 금지하기로 했다.
금융사 내부통제 절차도 강화된다. 일정 규모 이상 금융사에 대해서는 신용정보 관리ㆍ보호인을 임원으로 임명해 권한과 의무를 강화하기로 했다. 금융사 외주용역에 대한 CEO와 정보보호최고책임자(CISO)의 사전승인·사후관리 절차도 명확히 하고 외부저장매체(노트북·USB 등)의 반입 통제도 철저히 시행하기로 했다.
카드 3사 징계
금융위는 이번에 1억여건의 정보를 유출한 KB국민카드, 롯데카드, NH농협카드에 대해서는 법령상 최고 수준인 영업 정지 3개월의 제재와 더불어 사고 발생 시의 전·현직 임직원에 대해 해임권고, 직무 정지 등의 중징계를 내릴 예정이다. 단, 과징금의 경우 향후 개정될 법을 소급 적용할 수 없어 현행 법 최고한도인 600만원만 부과할 수 있을 전망이다.
이동현기자 nani@hk.co.kr
기사 URL이 복사되었습니다.
댓글0