[개인정보 보호 대책] 사고 재발 막을 수 있겠나…‘재탕’논란

정보수집 필수항목 6~10개 간소화… 거래 종료 후 3개월 이내 폐기해야

▲현오석 경제부총리 겸 기획재정부 장관이 10일 오전 정부서울청사에서 열린 개인정보 유출 재발방지 종합대책에 관한 정부 합동브리핑에 참석, 모두발언을 하고 있다. 최유진 기자 strongman55@

금융당국이 10일 관계부처 합동으로 내놓은 ‘개인정보 유출 재발 방지책’의 핵심은 금융회사의 정보수집 최소화와 정보 불법 유출·유통에 대한 사후적 책임 강화다. 그간 무분별하게 이뤄져 온 금융회사의 과도한 정보 수집·공유 관행을 제한하고, 정보유출 회사에 최대 50억원의 징벌적 과징금 및 최대 6개월의 영업정지를 부과한다. 하지만 금융회사 이익 대비 징벌적 과징금 규모가 적다는 점, 금융사 최고경영자(CEO)에 대한 구체적인 제재 기준이 정해지지 않은 점, 아울러 지난 1월 발표한 대책과 별반 차이점이 없다는 점 등의 한계점도 적지 않다.

◇정보유출 금융사 최대 50억원 징벌적 과징금 = 앞으로 정보유출 금융사는 관련 피해가 발생하지 않더라도 최대 50억원의 과징금을 물어야 한다. 또한 유출된 정보를 불법 활용할 경우 관련 매출액의 3%를 과징금으로 내야 한다. 정부는 위반행위 기간, 위반 횟수, 유출정보 건수, 시장에 미치는 영향 등 고의·과실 정도에 따라 과징금 기준금액을 산정한다.

예를 들어 불법 정보를 활용한 대출이 1000억원이라면 30억원을, 1조원이라면 300억원의 과징금을 내는 방식으로 사실상 금액 제한 없이 과징금을 부과한다.

금융회사의 안일한 개인정보 관리 행태가 금융 사고의 한 원인으로 작용한 만큼 금융회사에 대한 사후 제재를 한층 강화키로 한 것이다.

개인정보 유출 관련 형벌 수준도 대폭 상향된다. 정보유출·불법 활용자는 금융관련법 최고 수준인 10년 이하 징역 또는 5억원 이하 벌금에 처하고, 불법정보 유출 관련 금융사는 최대 6개월의 영업정지를 당하게 된다. 만일 해당 금융사가 3년 내 정보유출을 또다시 일으키면 허가가 취소된다.

최고경영자(CEO) 등 임원의 책임도 강화된다. 신용정보 관리·보호인 및 CEO에게 신용정보 보호 관련 의무를 부여하고 이를 이행하지 않은 경우 CEO에도 책임을 부과키로 했다.

아울러 정보유출이 일어나지 않더라도 금융회사가 보안대책 미비 등 주의 의무를 다하지 않아도 과태료를 부과키로 했다. 금융당국은 정보유출 보안장치 미비시 과태료를 기존 600만원에서 5000만원으로 대폭 상향하는 한편, 신용정보 관리인이 CEO에 정보보호 관련 보고의무를 다하지 않았을 경우 또 식별정보 암호화 조치 미비·정보폐기 의무 위반시 각각 5000만원과 3000만원의 과태료를 새롭게 부과할 방침이다.

◇금융사 무분별한 정보 수집·공유 제한 = 금융회사의 과도한 정보 수집 및 공유에도 대대적인 메스가 가해진다.

금융회사가 수집할 수 있는 고객정보를 현행 50여개에서 최대 10개의 필수항목으로 엄격히 제한하고 결혼기념일, 종교, 배우자 및 가족 정보 등 사생활 침해 소지가 있는 정보수집이 원천적으로 금지된다. 이에 따라 금융회사는 앞으로 필수정보와 선택정보 등으로 수집 정보를 나눠 ‘필요 최소한’의 정보만 수집할 수 있다.

또한 수집된 정보는 원칙적으로 필요한 정보만을 제외하고 거래종료 이후 3개월 이내 파기해야 한다. 이어 거래종료 후 5년이 경과한 정보는 원칙적으로 모두 파기토록 했다.

다만 법률상 의무이행 등을 위해 보관이 불가피한 경우에는 외부차단 별도 데이터베이스(DB)에 정보를 보관하고 제한된 담당자(법무담당관 등) 접근 및 정보 암호화 등의 조치를 취해 정보보안을 엄격히 하도록 했다.

금융지주 그룹내 계열사는 고객의 사전동의 없이 개인정보를 공유할 수 없다. 제공받은 정보 이용기간도 현행 3개월 이내에서 1개월 이내로 축소되고 이용기간 이후 파기 여부를 고객정보 관리인이 확인해야 한다. 아울러 분사하는 회사는 자사 이외의 고객정보를 원칙적으로 이관받을 수 없다.

제3자에 대한 금융회사의 무분별한 정보제공 행위에 제동이 걸린다. 앞으로 금융회사의 포괄적 정보제공 동의가 제한, 소비자는 ‘필수적 제3자’와 ‘선택적 제3자’를 구분해 정보제공을 동의할 수 있다.

지금까지는 하나의 부가서비스를 이용하기 위해 모든 개인정보를 모든 제3자에 제공하는 데 동의해야만 했다. 이에 따라 고객정보가 다수 기관에 무분별하게 노출되는 폐해가 있었다. 따라서 앞으로 동의하고 싶지 않은 제3자 그룹에 대한 소비자의 ‘비동의’ 선택권이 실질적으로 보장될 전망이다.

한편 오는 4월부터는 개인정보 유출 재발방지 차원에서 무차별적 문자전송(SMS)을 통한 비대면 금융영업이 전면 금지된다. 이와 함께 정보의 적법성이 확인되지 않은 전화영업도 엄격히 제한된다. 금융당국은 이달 중 가이드라인을 확정하고 다음달부터 시행에 들어갈 방침이다.

다만 마케팅 목적의 문자 수신 및 기존계약을 유지·관리하는 경우는 제외된다. 또 고객이 먼저 전화를 걸어오거나(In-bound), 블로그 등 광고 게시판 등에 연락처를 남긴 경우에도 영업이 가능하다.

금융회사는 전화상담이나 이메일 영업시 고객이 관련 내용을 쉽게 확인·선택할 수 있도록 인사말이나 제목에 소속회사, 송부인(모집인 여부), 연락 목적 및 정보획득 경로 등을 명확히 안내해야 한다.