[종합] 금융회사 정보 유출시 CEO 해임·금융사 징벌적 과징금 부과

금융당국은 개인정보 유출 사고를 일으킨 최고경영자(CEO)를 해임하고 금융회사의 정보수집을 제한하기로 했다. 그간 여러 차례 정보유출 사고가 발생했음에도 금융사와 경영진에 대한 처벌이 솜방망이라는 지적에 따른 것이다. 또한 무분별한 정보수집 및 장기간 정보보유 관행으로 정보 유출시 그 피해가 컸다.

이에 금융당국은 개인정보 유출 CEO의 해임도 가능토록 제재수준을 높이고 불법적으로 유출·활용한 금융사에 대해서 사실상 상한이 없는 ‘징벌적 과징금’ 부과해 재발을 차단할 방침이다. 또한 대출모집인의 불법적 정보활용을 제대로 관리·감독하지 못 한 경우에도 해당 금융회사에 대해 과징금을 부과한다. 이와 함께 금융사의 무분별한 개인정보 수집을 ‘필요 최소한’의 수집으로 제한하고 정보보유 기간은 거래 종료일로부터 5년으로 제한하키로 했다.

금융위원회는 22일 이 같은 내용을 중심으로 한 금융회사 ‘고객정보 유출 재발방지 대책’을 발표했다.

신제윤 금융위원장은 “이번 사건은 기본적인 보안절차만 준수했다면 충분히 막을 수 있는 전형적인 인재(人災) 사고”라며 “정보유출 해당카드사에 대해서는 관련 법령상 가능한 최고수준의 제재를 2월중 부과토록 하고 임직원에 대해서는 확실한 책임을 물을 것으로 앞으로 이러한 사고가 재발하면 그 회사와 관련자는 문을 닫고 금융업에 다시는 종사하지 못하도록 확실한 조치를 취할 것”이라고 강조했다.

이에 따라 금융위는 정보유출 사고를 일으킨 전·현직 금융사 최고경영자(CEO)에 대한 해임 권고 등 중징계와 해당 금융사에 3개월 영업정지 처분을 내리는 등 정보유출 책임을 엄하게 물을 방침이다.

금융위의 이번 대책은 크게 △보유정보의 적정성 및 안전성 확보 △정보관리 및 정보유통과정 개선 △사후제재 강화 등 세 가지로 나뉜다.

◇ 금융사 정보수집 제한·5년후 폐기 의무화= 우선 금융회사의 고객정보 수집을 제한한다. 금융사의 무분별한 개인정보 요구로 인한 정보유출 가능성을 축소하기 위해서다. 금융당국은 금융회사의 정보보유 실태를 전면 점검해 꼭 필요한 정보만 수집·보관하도록 추진할 방침이다.

현재 금융회사는 제휴서비스 제공 및 마케팅 등을 위해 전화번호 및 주소 등 통상 20여개 항목, 많게는 50여개에 달하는 개인정보를 수집·관리하고 있다. 이에 따라 신용도 파악 등 영업에 필수적이지 않은 개인정보를 과도하게 수집·보유한다는 지적이 제기돼 왔다.

아울러 신용정보법 개정을 통해 금융회사의 개인신용정보 보유기간을 거래종료일로부터 5년으로 제한하고 거래종료 고객정보는 현재 고객정보와 별도로 분리(방화벽)해 보관·관리토록한다. 또 외부영업(보험TM, 대출상품 권유 등 마케팅 활동) 목적의 활용도 엄격히 제한한다.

연쇄적인 정보유출 피해를 차단하기 위해 금융지주그룹내 정보공유는 원칙적으로 신용위험관리 등 ‘내부경영관리 목적’으로만 한정한다. 분사된 회사는 그 회사의 ‘현재 고객이 아닌’ 개인 신용정보를 별도로 분리해 관리토록 하고 분리해 관리한 정보는 5년후 폐기를 의무화한다.

최근 발생한 국민은행·국민카드의 정보유출 사고는 분사 이전의 모든 개인정보 자료를 국민카드가 분사한 이후에도 국민카드에서 보관하고 있던데 따른 것이다.

이밖에 신용정보 보호책임자가 개인정보 수집·보관·처리 전반에 대한 권한과 책임을 확보할 수 있도록 일정규모 이상의 금융회사에 대해서는 신용정보 관리·보호인을 ‘임원’으로 임명해 권한과 의무를 강화한다.

◇ 정보유출 관련 CEO 제재 강화·상한없는 ‘징벌적 과징금제’ 도입= 정보유출에 대한 CEO와 금융회사의 책임은 한층 강화한다. 우선 CEO 등 임원에 대해서도 직접적 책임을 부과해 사고 발생시 행위자로 감안, 엄격한 제재가 이뤄지도록 한다.

그간 개인정보 유출 등이 있는 경우 해당 금융기관 임·직원에 대해서 통상 ‘주의’ 수준의 낮은 제재조치가 이뤄져 왔다. 이에 금융위는 제재규정을 개정해 유출된 개인정보 건수 등에 따라 임원 해임 등 양형기준 엄격화할 방침이다.

개별 금융회사에 대한 기관제재도 영업정지 3개월에서 6개월로 제재를 강화하고 신용정보회사에 대해서도 영업정지 등 기관제재를 도입한다.

개인정보를 불법적으로 유출·활용하는 금융회사 등에 대해서는 징벌적 과징금을 부과한다. 불법 수집·유통된 개인정보를 활용해 영업활동을 한 금융회사에 대해 일정기준(관련 매출액의 1%)에 해당하는 과징금을 부과토록 하는 것이다. 또 유출정보의 주수요처인 대출모집인의 불법적인 정보활용을 제대로 관리·감독하지 못한 경우에도 해당 금융회사에 대해 과징금을 부과키로 했다.

개인정보를 불법유출한 금융회사에는 고객피해 사실이 없어도 일정기준에 따라 최대 50억원 상당의 과징금을 부과한다. 불법 정보유출이 이익과 직접 연계되지 않는 측면이 있으므로 금액한도를 설정키로 한 것이다. 현행 정보통신망법은 금액한도가 1억원 이하지만 금융위는 신용정보법 개정을 통해 과징금 한도를 대폭 상향할 계획이다.

금전적 제재의 실효성 확보를 위해 관련 위반자에 대한 과태료 수준도 현행 1000만원에서 5000만원까지 높인다.

또 신용정보법, 전자금융거래법 등의 정보유출자에 대한 형벌 수준을 가급적 금융 관련법 최고 수준으로 대폭 상향한다. 현행 은행법에 따르면 ‘임직원이 업무상 알게된 비공개정보를 누설한 경우 10년 이하 징역 또는 5억원 이하 벌금을 부과’할 수 있다.