금융위원회와 안전행정부 등 관계부처가 22일 발표한 금융사 고객정보 유출방지 종합대책은 정보수집과 활용·폐기, 금융사 내부통제, 최고경영자(CEO) 처벌 등 전방위적인 대책을 담고 있다.

   특히 이번 KB국민·롯데·NH농협 등 카드 3사 정보유출 사고와 관련해서는 법령상 부과 가능한 최고한도의 제재를 2월 중 추진할 계획이다.

 
◇무분별한 개인정보 수집·공유 어려워진다
금융위는 금융사들이 영업에 꼭 필요하지 않은 개인정보까지 과도하게 수집·보유한다는 지적에 따라 금융사 정보보유 실태를 점검하고 꼭 필요한 정보만 수집·보관하도록 할 계획이다.

   올해 1분기에 금융사별로 정보보유 현황에 대한 자체점검과 타당성 평가를 해 불필요한 정보 수집이 중단된다.

   현재 금융사들은 일반적으로 고객의 전화번호와 주소 등 약 20여개 항목에 대해, 많은 경우 약 50여개 항목의 정보를 수집하는 것으로 알려졌다.

   이해선 금융위 중소서민금융정책관은 "연구용역과 점검을 통해서 금융사가 어떤 정보를 수집하는 것이 적절한지 고민하겠다"고 밝혔다.

   금융사가 고객 정보를 갖고 있는 기간도 줄어든다.

   현재 금융사는 상법과 전자금융거래법 등에 따라 5년∼10년가량 개인정보를 보유하는데, 앞으로는 신용정보법 개정을 통해 특별한 사정이 없는 한 금융거래 종료일로부터 5년간만 고객 정보를 갖고 있을 수 있게 된다.

   카드회원 탈퇴 요청을 한 고객 등 '거래종료 고객' 정보는 현재의 고객과는 별도로 보관·관리하고, 외부영업(보험 텔레마케팅·대출상품 권유 등 마케팅 활동) 목적으로 활용할 수 없게 된다.

   또 거래종료 고객이 '개인신용정보 보호요청'을 하면 ▲불필요한 자료 삭제 ▲보관이 필요한 정보는 암호화해 별도 보관 ▲금융사의 자료 활용 때 본인 통지 등의 서비스를 받을 수 있게 된다.

   금융위는 또 원칙적으로 동의서에 정보제공 대상 회사를 개별적으로 적어야 정보제공이 가능하도록 할 계획이다.

   제공대상 정보도 부가서비스 이용에 필요한 정보만 선택할 수 있게 된다.

   제3자에게 정보를 제공하는 것에 동의하지 않으면 아예 회원가입 등 기본적인 서비스조차 이용하지 못하는 사례가 없어지는 것이다.

   제3자 취득정보 활용기간은 정보 활용 목적에 필요한 기간을 구체적으로 명시하고, 마케팅 목적의 활용은 제한된다.

   신제윤 금융위원장은 "고객이 동의해야 제3자에게 정보를 제공할 수 있게 하고, 동의하지 않으면 서비스를 이용할 수 없게 하는 절차는 모두 폐지하는 것을 대원칙으로 하겠다"고 강조했다.

   이번 사건으로 논란이 된 금융지주 계열사간 정보공유도 어려워진다.

   앞으로는 금융지주회사법상 특례에 따른 정보활용은 원칙적으로 신용위험관리 등 내부경영관리 목적에 한정된다. 사전 동의 없이 고객정보를 외부영업에 활용하는 경우에는 업무 처리 절차가 대폭 강화된다.

  
◇"부당 매출액 1%"…사실상 '무제한 징벌적 과징금'
정보유출에 따른 금융사 경영진이나 기관에 대한 처벌 수위도 높아진다.

   금융위는 우선 불법 수집·유통된 개인정보를 활용해 영업한 금융회사에는 높은 수준의 '징벌적 과징금'을 부과하기로 했다.

   예를 들면 불법 유통된 정보를 활용해 대출모집을 했을 경우 해당 영업과 관련된 매출액의 1%를 과징금으로 내게 하는 식이다.

   금전적 이득을 취한 것은 아니지만 실수로 개인정보를 유출한 금융회사에 대해서도 높은 수준의 과징금이 부과된다.

   이해선 정책관은 "정보유출을 통해 금전적인 이득을 취한 경우와 그렇지 않은 경우로 나눠 과징금 부과 한도를 정할 수 있다"며 "후자의 경우에도 정보유출이 미치는 사회적 파장 등을 고려해 정보통신망법상 1억원인 과징금을 훨씬 높게 끌어올릴 계획이다"고 전했다.

   CEO 등 임원도 직접적 책임을 지게 된다.

   개별 금융사에 대한 기관제재가 신용정보법상 영업정지 3개월에서 6개월로 강화되고, 코리아크레딧뷰로(KCB) 같은 신용정보회사도 기관제재를 받도록 할 계획이다.

   금융위 관계자는 "최근 카드3사 사태의 경우를 분석해보면 행정 제재는 신용정보법상 최고 3개월 영업정지, 전자금융법상 최고 1개월 업무정지가 가능하다"며 "신용정보법을 개정할 경우 더 강려한 수준의 제재를 할 수 있을 것으로 본다"고 설명했다.

   고객정보를 불법유출·사용한 대출모집인도 자격이 박탈되고 타 업권 모집인 등록도 제한받는다.

   내부통제 절차도 강화된다.

   금융위는 일정 규모 이상의 금융사에 대해서는 신용정보 관리·보호인을 임원으로 임명해 권한과 의무를 강화하기로 했다.

   금융사의 외주용역에 대한 CEO와 정보보호최고책임자(CISO)의 사전승인·사후관리 절차도 명확히 하고 외부저장매체(노트북·USB 등)의 반입통제도 철저히 시행하기로 했다.

 
◇카드 3사 사태 중심에 선 KCB 처벌은
이번에 대규모 정보가 유출된 카드 3사가 영업정지 조치를 받더라도 기존 고객들은 그대로 카드를 이용할 수 있다.

   신규고객 유치와 판촉 업무만 정지되기 때문이다.

   금융당국 관계자는 "이들 카드사가 영업 정지되더라도 어디까지는 신규 회원 모집을 못하게 되는 것이지만 기존 회원은 변함없이 카드를 쓸 수도 있고 재발급도 받을 수 있다"고 말했다.

   다만, 이번 사태의 중심에 선 신용정보회사 KCB가 기관제재를 받게될지는 미지수다.

   업무를 수탁받은 신용정보회사에 대한 제재 규정이 현재로서는 없기 때문이다.

   다만 금융위와 금융감독원은 직접적인 제재 관련 법규가 없더라도 관리 책임을 물을 수 있는지 검토하고 있다고 전했다.

   박세춘 금감원 은행·중소서민 검사 담당 부원장보는 "KCB의 직원 관리 책임이나 IT보안과 관련해서 기관과 경영진에 책임을 부과할 수 있는 부분이 있는지 검토하고 있다"며 "일반적인으로 직원이 본인 회사에서 사고를 낸 것과는 경우가 다르기 때문에 어떤 법규 적용이 가능한지 봐야 한다"고 설명했다.  /연합뉴스/