정부는 ‘경제혁신 3개년 계획’의 “원칙이 바로 선 시장경제” 분야 핵심과제 중 하나로 ‘금융분야 개인정보 유출 재발방지 종합대책’을 관계부처 합동으로 마련했다. 금번 대책은 최근 발생한 카드사 정보유출과 과거 해킹사고 등에서 드러난 문제점에 대한 근본적·종합적 재발방지 방안을 마련해 ▲부분적·단편적 대응에 따른 반복적인 정보유출·해킹사고를 차단하고 ▲이번 사고를 계기로 ICT에 기초한 신용사회의 기반을 재구축한다는 차원에서 금융 분야 개인정보 보호 및 사이버 안전을 획기적으로 제고할 수 있는 방안을 강구하는데 중점을 뒀다. 이를 위해 정부는 ‘고객정보 보호 정상화 TF’를 중심으로 ‘금융회사 고객정보 유출 재발방지대책(1월 22일)’과 ‘개인정보 불법유통·활용 차단조치(1월 24일)’ 등 이미 발표된 대책의 내용을 전문가와 관계부처·기관 검토를 거쳐 보다 발전·구체화 시켰으며, 정무위 국정조사 등 국회 논의과정에서 제기된 내용 등도 반영했다고 밝혔다.

 

 

 

이번 “종합대책”은 다음 4가지 기본방향에 따라 마련됐다. ▲개인정보의 ‘수집-보유·활용-파기’ 등 단계별로 금융소비자의 권리 보호 및 금융회사 책임을 대폭 강화하고 ▲금융회사가 확실하게 책임지는 구조를 확립하고 ▲해킹 등 외부로부터의 전자적 침해행위에 대해서도 기존 대책(2013년 7월 발표)을 대폭 보강하며 ▲이미 계열사와 제3자에 제공됐거나 외부로 유출된 정보로 인해 잠재적으로 피해가 발생할 가능성에 대해서도 대응방안을 강구한다는 방침이다.

 

개인정보 ‘수집-보유·활용-파기’ 단계별 처방

그간 금융회사는 영업에 필수적이지 않은 개인 정보까지 수집해 장기간 보유하고 소홀하게 관리해왔다. 이러한 문제를 근본적으로 해결하기 위해 정부는 정보 수집, 보유·활용, 파기에 걸친 정보 관리 개선 계획을 내놨다.

 

‘이중 삼중’ 써야 했던… 주민번호 노출 최소화

금융거래 시 서식에 기입한 주민번호를 신원확인 시 매번 다시 제공함에 따라 그간 주민번호는 과다하게 노출돼 왔다. 이로 인한 불법 활용·유출의 위험도 상당했다. 정부는 이러한 문제를 개선하기 위해 주민번호 노출을 최소화시킨다는 방침이다. 앞으로 금융회사는 최초 거래 시에만 주민번호를 수집하되 번호 노출이 최소화되는 방식으로 수집(키패드 입력 등)하고, 이후에는 주민번호 수집 없이 여타 정보 활용 등을 통해 신원을 확인해야 한다. 또한, 수집한 주민번호는 암호화해 안전하게 보관하며, 주민번호 불법 활용·유출 시에는 일반 개인정보 유출 시보다 가중된 처벌을 받게 된다.

 

정보제공 동의서 양식 개편… ‘깨알같은 글씨’ 크게!

금융회사가 최소한의 정보만 수집하고 고객도 정보제공 내용을 명확히 인지할 수 있도록 동의서 양식도 개편된다. ‘필수사항’과 ‘선택사항’을 구분하고 필수사항 동의로 계약 체결(서비스 제공)이 이뤄지도록 해, 선택사항에 동의하지 않는다는 사유로 금융 회사가 서비스 제공을 거부하지 못하게 된다. 또한, 동의서의 글자 크기, 줄 간격 등도 확대해 누구나 충분히 읽기 쉽게 개선된다.

 

스팸급 문자 영업 금지… 비대면 영업행위 제한

금융소비자들의 불편을 초래하고 정보의 적법성을 확인하기 어려운 비대면 영업행위 또한 엄격하게 제한된다. 그간 무차별적으로 전송됐던 문자메시지 영업행위가 전면 금지된다. 기타 전화·이메일 등 여타 비대면방식 모집·권유 행위는 엄격한 정보활용 기준에 따라 제한적인 범위 내에서만 허용된다. 이에 따라 이메일·전화상담 시 금융 회사는 “소속회사, 목적, 정보획득경로” 등을 사전에 명확히 안내해야 한다.

 

금융소비자의 ‘자기정보결정권’ 확실히 보장

정부는 금융소비자가 본인 정보가 어떻게 활용되는지 알지 못하고, 본인 정보의 제공·조회·삭제 등을 스스로 결정할 수 없었던 문제를 확실히 해결한다는 방침이다. 이에 따라 정부는 소비자들이 아래와 같은 자기정보결정권을 보장받을 수 있도록 제도를 개선해나갈 예정이다.

 

‘CEO가 직접 정보보호 현황 살펴봐야 해’

이제껏 국내 금융회사에서는 CEO 등 주요 의사결정자가 정보보호와 보안에 대해 관심이 부족하고 정보보호책임자의 역할도 제한적이었다. 정부는 이러한 문제에 있어서도 더 이상 두고만 보지 않겠다는 입장이다.

앞으로 금융 회사에서는 정보보호 현황 및 정책을 매년 작성해 CEO 및 이사회가 직접 보고를 받도록 하고, 이는 감독당국에도 제출해야 한다. 또한, 신용정보 관리·보호인을 임원으로 임명하고 강화된 권한을 부여해야 한다. 아울러 정보보호최고책임자(CISO)가 정보 효율성을 강조하는 업무 담당 시 발생하는 이해상충을 방지하기 위해 일정규모 이상 금융회사 CISO는 타 IT 관련 직위와의 겸직이 제한된다.

 

‘모집인·제3자 정보제공’ 관리 책임도 금융회사로

모집인, 계열사·협력사 등의 무분별한 정보 활용 및 정보유출 위험 방지를 위한 금융회사 관리책임도 강화된다. 금융회사가 모집인에 정보를 제공할 때에는 최소한의 정보만을 암호화해 제공하고, “정보활용·파기 관리대장”을 작성해 주기적으로 점검해야 한다. 금융회사는 모집인의 계약 승인 시 모집경로를 확인해 적법정보를 활용했는지 확인해야 한다. 이에 따라 정보가 유출되거나 불법적으로 사용된 경황이 포착됐을 때는 모집인뿐만 아니라 금융회사도 엄정한 책임(과징금 등)을 지게 된다. 금융회사는 제3자 및 계열사에 정보를 제공한 경우에도 이용기간 초과 시 파기여부를 확인하고, 관리 실태를 CEO 등에 주기적으로 보고해야만 한다.

 

‘사고 친’ 금융회사 사후 제재 대폭 강화

앞으로 정보유출 피해가 발생한 금융회사에는 국민불안·피해 등의 사회적 파장을 감안해 그에 상응하는 수준의 제재가 가해진다. 정부는 이로써 금융회사 등이 스스로 경각심을 갖고 재발방지에 노력하게 한다는 방침이다.

대폭 상향된 ‘징벌적 과징금’ 제도로 금융회사는 불법정보 활용 시 ‘관련 매출액’의 일정비율(예: 3%)을 벌금으로 내야 하며, 이 금액은 사실 상 무제한이다. 정보 유출 시에도 여타 법률보다 높은 한도(예: 50억원)로 과징금이 부과된다. 또한, 정보유출 시 형벌수준이 금융관련법 최고 수준(10년 이하 징역 등)으로 상향되고, 영업정지 등 기타 제재도 크게 강화된다.

신용정보회사의 불법정보 유출 시에는 영업정지(6개월 이내) 또는 이에 갈음하는 과징금이 부과되고, 3년 내 재위반시에는 허가가 취소된다. 보안대책 미비 등 주의의무를 다하지 않은 경우의 과태료도 상향(600만원 → 5,000만원)되며 금융회사의 영업정지 등으로 기관제재 또한 강화(예: 카드사 영업정지 3→6개월)된다.

 

“약속 지킨다” 기존 대책 대폭 보강

정부는 이미 발표한 ‘금융전산 보안 강화 종합대책(2013년 7월)’을 철저히 이행하는 한편, 전산보안 강화를 위한 추가 노력도 다각도로 추진한다는 계획이다.

추진 내용은 ▲내·외부망 분리, 차질 없이 추진(점검 후 미이행시 제재 부과) ▲주민번호 암호화 조기 추진 ▲금융전산 보안관제 범위 ‘은행·증권’에서 ‘보험·카드’까지 확대 ▲‘금융보안 전담기구’ 설치 추진(2015년 출범목표) ▲한국인터넷진흥원, 금융보안 전담기구 등 객관적인 평가기관이 금융회사의 전산보안 수준을 평가·공개하는 ‘금융전산 보안인증제’ 도입·확대 ▲금융회사 IT사업에 대한 금감원의 보안성 심의 확대 실시 등이다.

 

“사전 예방” 정보보안 점검·관리 강화

정보보안 규정이 현장에서 제대로 지켜지지 않으면 ‘일어나지 않을 수 있었던’ 사고가 발생하기도 한다. 이러한 일을 막기 위해, 앞으로 금융회사는 CISO 책임 하에 매월 보안점검을 실시하고, CEO에게 점검결과를 보고해야 하며 이는 금감원에도 제출해야 한다. 한편, 금감원은 필수 보안규정이 누락되지 않도록 ‘금융보안 표준 체크리스트’를 마련하고 금감원 중심으로 인터넷진흥원, 금융보안전담기구 등으로 ‘기동점검반’을 운영하며 불시점검, 기획검사 등을 통해 금융회사의 보안규정 실천을 체질화할 예정이다.

 

신용카드 결제 시 개인정보 보호 강화

소비자의 신용카드 결제정보는 가맹점 단말기, VAN사 등을 거쳐 처리된다. 정부는 이 과정에서도 소비자의 정보가 정보유출 위험 없이 안전하게 처리될 수 있도록 다각적 개선방안을 추진할 예정이다.

보안성이 낮은 마그네틱 신용카드는 IC카드로 조속히 교체하고, 가맹점 단말기도 정보 암호화가 가능한 IC단말기로 전환한다. 또한, 카드사 가맹점 계약 체결 시 IC단말기 설치여부를 확인해, 영세가맹점에 대해서는 단말기 교체 자금을 지원하고 가맹점이 보안 강화된 단말기를 사용하도록 적극 유도한다는 방침이다. 정부는 2014년 하반기 중 ‘IC결제 우선 승인제’를 실시하고, 2015년부터는 IC단말기 설치 가맹점의 IC사용, 2016년부터는 전 가맹점 IC사용을 의무화한다는 계획이다.

한편, VAN사 등록제를 도입해 IT안전성 확보, 신용정보 보호, VAN사 대리점 관리 의무 등을 부과하고 의무 위반 시 과징금·등록취소 등의 제재장치 또한 마련할 방침이다.

 

기존정보로 인한 피해 가능성 차단

이번 개인정보 유출 사고로 인해 금융회사가 현재 보유하고 있거나 협력사·계열사 등에 제공한 정보, 또는 확인되지 않았으나 외부에 유출된 정보에 대한 국민 불안과 잠재적 피해 가능성이 크다. 정부는 이를 차단하기 위한 조치도 마련한다는 계획이다.

정부는 현재 진행 중인 전면점검을 통해, 금융회사가 보유하고 있거나 제3자 등에 제공된 개인정보의 적법성을 철저히 점검하는 한편, 계약유지·법률상 의무이행 등에 꼭 필요한 정보 외에는 금융회사에게 올해 일괄적으로 파기할 것을 명령할 예정이다. 또한, 이번 점검 이후에 불필요한 정보를 보유하다 불법 활용 또는 유출된 것이 확인된 금융회사에는 더욱 엄중한 제재를 가한다는 방침이다. 한편, 고객이 개인정보 유출로 인한 피해 등을 우려해 요청하는 경우, 카드 교체 등을 신속히 할 수 있도록 지원하는 방안 등도 마련할 예정이다.

 

금융회사 별 대응매뉴얼(Contingency Plan) 마련

앞으로 금융회사는 정보유출 사고 발생 시의 신속하고 빈틈없는 대응을 위해 CEO 책임 하에 대응매뉴얼(Contingency Plan)을 마련해야 한다. 사고 발생 시에는 인지하는 즉시 이 대응체계를 가동해야 하며 필요 시에는 금융당국은 물론 관계부처·기관 공조를 통해 이에 대한 대응책을 마련해야 한다. 한편, 금융회사는 정보유출 피해 최소화(고객 불편·불안 최소화, 금융사기 단속 등), 피해 예방조치의 신속한 이행, 피해자 구제 등을 위한 전방위적인 피해확산 방지 대책을 마련해 시행할 의무를 갖게 된다.

향후 정부는 앞선 계획들을 바탕으로 ▲법 개정이 필요하지 않은 불필요한 정보 삭제, 고객정보 보호를 위한 시스템 구축 등을 조속히 시행하고 ▲신용정보법·전자금융거래법 등 법률 개정안(국회 계류중)은 적극적 국회 설득을 통해 상반기 국회 통과를 추진하며 ▲‘고객정보 보호 정상화 T/F’를 통해 금번 대책의 이행 상황을 지속적으로 점검하는 등 차질 없이 개인정보 유출 재발방지 대책을 추진해 나간다는 계획이다.

카드사 정보유출로 인해 온 국민이 불안한 가슴을 쓸어내리고 있는 지금, 개인정보 유출 방지에 대한 정부의 ‘선전포고’가 어떤 파장을 일으킬지 그 귀추가 주목된다. 

 

<특별취재팀>