금융권 개인정보 보호 '무법지대'…"안전지대는 없었다"
지주법상 고객정보 관리 지침서만 통과하면 고객정보 관리 보고 책임 없어…"법 개정 필요"
1억여 건이 넘는 카드사 3사의 고객정보 유출이 각 금융사들로 번지는 등 금융권에서 사상 초유의 개인정보 유출사건이 벌어졌다. 이는 금융지주사 내 계열사들의 고객정보 공유와 제휴마케팅업체와의 정보 교류 등에 의해 개인정보 유출 규모가 일파만파 확대된 것이다.
하지만 현행 관련 법에는 금융사들이 고객정보 관리 현황을 보고하도록 규제하지 않고 있는 탓에 결국 곪은게 터진 결과로 이어진 것이라는 지적이 일고 있다.
이에 따라 관련 법 개정을 통해 금융사들이 고객정보를 좀 더 타이트하게 관리해야 한다는 지적이 나오고 있다.
이번 약 4000만 건의 고객정보 유출이 확인된 KB카드의 경우 KB금융지주의 같은 자회사인 국민은행의 고객정보도 다수 포함하고 있어 지주사 차원의 고객정보 관리에 더욱 철저해야 한다는 목소리가 높아지고 있다.
신제윤 금융위원장은 20일 카드사의 사상 최대의 개인정보 유출사태와 관련해 "근본적으로 신용정보 전반의 관리체계에 대해 태스크포스(TF)를 통해 제도적인 사항을 점검하겠다"고 밝히기도 했다.
이날 금융권에 따르면 금융지주회사법 48조(고객정보의 제공 및 관리)는 지난 2009년, 금융지주사의 자회사들은 개인신용정보를 영업상 이용할 목적으로 지주사의 다른 자회사에 제공할 수 있도록 개정됐다. 금융지주 차원에서의 영업 효율을 높이기 위해서다.
지주 내의 자회사가 다른 자회사의 고객정보를 보기 위해선 상급자의 결제를 거치는 등 절차가 까다로운 것으로 알려져 있지만 원칙적으로 자회사 간 고객정보 공유가 허용된 것이다.
지주사 차원의 영업 효율성을 높이기 위해 지주 자회사 간 고객정보 공유가 허용됐지만 이에 상응하는 고객정보 관리 방안은 허술 상황이다.
이 법에 따르면 금융지주회사 등은 고객정보의 관리를 위해 임원 가운데 1인을 고객정보관리인으로 지정하고 금융위원회가 정하는 바에 따라 업무지침서를 작성, 보고해야 한다.
하지만 각 지주사들은 고객정보관리 업무지침서를 최초 작성하거나 개정할 때만 금융위에 보고할 의무가 있을 뿐, 고객정보를 어떻게 관리하고 있는지 등의 상황과 중간과정에 대해선 입을 다물고 있어도 무방하다.
금융위 관계자는 "고객정보 관리 업무지침서는 지침이 바뀔 경우 금융위에 보고하게 돼 있다"면서 "이외에 금융당국에서 각 지주사의 고객정보 관리 현황을 확인하는 시기는 검사할 사항이 있을 경우나 2~3년마다 있는 종합검사 때"라고 말했다.
지주사들의 입장에선 고객정보 관리 업무지침서가 바뀌지 않는 한 고객정보 관리 현황·실태에 대해 금융당국에 보고할 의무가 없고, 금융당국에서도 수시로 금융사의 고객정보 보안 점검을 이행하고 있지 않은 셈이다.
한 금융권 관계자는 "최근들어 과거보다 개인정보 보호에 대해 국민들의 의식이 굉장히 높아져 있는 상황"이라면서 "자신의 정보에 대해선 철통같은 보안을 요구하는 등 기대수준이 상당히 높아졌다"고 말했다.
이어 이 관계자는 "금융지주법의 고객정보 보안을 강화하기 위해 새로운 조항을 추가하는 등의 대책 논의가 필요할 것으로 보인다"면서 "관련 법이 개정된다면 금융 지주사들의 업무효율과 금융 소비자들의 정보 보안을 동시에 충족시킬 수 있어야 할 것"이라고 덧붙였다.
한편 금융감독원은 고객정보 유출 가능성이 있는 16개 금융사에 자체점검을 지시하고 정보유출 관련 소견이 발견된 금융사의 경우 현장 검사에 돌입한다는 방침이다.
©(주) 데일리안 무단전재 및 재배포 금지
13일 오전 서울 여의도 금융감독원에서 열린 ‘개인정보보호책임자(CPO) 및 정보보호최고책임자(CISO) 회의’에서 참석자들이 고객정보 유출방지를 위한 금융회사 유의사항을 살펴보고 있다. ⓒ데일리안 홍효식 기자
실시간 주요뉴스
![지방 미분양 ‘시한폭탄’이 다가온다 [기자수첩-부동산]](https://cdnimage.dailian.co.kr/news/icon/202504/news_1743665289_1481219_c.jpeg){kind=icon}