올 초 발생한 KB국민·농협·롯데 등 카드 3사의 대규모 개인정보 유출 사태는 금융당국의 안일한 업무 처리가 빌미가 됐다. 금융당국의 총체적 감독 부실과 대응 방안이 사태를 더 키웠다는 비난도 끊이지 않았다. 이에 금융당국은 범정부 차원의 ‘금융분야 개인정보 유출 재발방지 종합대책’을 단계적으로 발표하는 등 개인정보 보안을 강화하고 있지만 여전히 남은 과제는 산적하다.
감사원이 지난 7월 발표한 ‘금융회사 개인정보 유출 관련 검사·감독 실태’ 결과에 따르면 금감원은 2012년 6~7월 농협은행 종합검사 당시 IT본부 보안담당자와의 면담을 통해 농협이 신용카드 부정방지사용 시스템(FDS) 개발을 외부업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다.
금감원은 그러나 농협이 관련 솔루션을 구축하는 중이라는 이유로 미변환 정보 제공의 문제점을 검사하지 않았고, 보안프로그램 설치 여부도 전체 컴퓨터 533대 중 1대만 점검해놓고 모두 설치됐다고 판단했다. KCB의 박모(구속) 차장은 이로 인해 금감원의 종합검사가 진행 중이던 2012년 6월부터 그해 12월까지 모두 2427만건의 개인정보를 빼냈다.
금감원은 또 지난해 6~7월 롯데카드 종합검사 당시에도 FDS사업 추진 과정에서 미변환 개인정보 저장·활용 문제와 관련해서도 검사인력 및 기간 부족을 이유로 날림 검사를 하고서는 아무 문제가 없다고 판단했다.
보안 관리감독에 대한 총체적 부실이 드러나자 금융당국은 지난 1월부터 9월까지 총 6차례에 걸쳐 범정부 차원의 종합대책을 쏟아냈다.
금융당국은 사고를 일으킨 기업에는 피해액의 최대 3배까지 보상하도록 하는 징벌적 손해배상제도를 내년 도입하고, 중대한 피해를 본 국민에게 주민등록번호 변경을 허용하기로 했다.
또 불법 정보유출과 유통행위에 대해서는 매출액의 3%까지 과징금을 부과하고, 불법 개인정보 유출행위에 대해 10년 이하의 징역 또는 1억원 이하의 벌금을 물리기로 했다. 이는 금융관련법 최고 수준의 형벌이다.
이밖에 금융회사의 정보 수집을 최소화하고 보관 기간을 5년으로 단축하는 등 정보를 체계적으로 엄격히 관리하기로 했다. 또 주민등록번호는 최초 거래시에만 수집하되, 번호 노출을 최소화하는 방식으로 수집하기로 했다.
아울러 금융회사의 개인정보 이용 및 제공 현황을 조회하는 한편 영업목적 전화에 대한 수신 거부(Do-not-Call) 등록을 위한 시스템도 구축하기로 했다. 내년 초에는 새로운 보안전담 기구인 금융보안원을 공식 출범시킬 예정이다.
그러나 이와 관련된 법안들이 아직 국회를 통과하지 못하고 있다. 특히 정보유출 사태를 계기로 추진돼 온 ‘신용정보의 이용 및 보호에 관한 법률 개정안’이 국회 벽을 넘지 못하고 있다.
국회 정무위원회는 지난 5일 전체회의를 열어 해당 법을 상정했지만 몇몇 의원들의 반대로 결국 개정안을 통과시키지 못했다. 개정안은 올 들어 세 번째 무산됐다.
문제는 이번 개정안에는 금융위에 신용정보협의회를 신설해 현재 은행연합회가 맡아온 신용정보집중 기능을 이전하는 내용 외에 징벌적 손해배상제도 도입 등 실질적인 개선 방안이 담긴 조항이 포함돼 있다는 것이다.
이밖에 내년 설립 예정인 금융보안원도 벌써부터 반쪽짜리 출범에 그칠 것이란 전망이 나온다. 초대 원장 선임 절차가 늦어지는데다 금융보안연구원, 금융결제원, 코스콤 등 각 기관의 이해관계가 얽히면서 보안원 설립 추진이 지지부진한 상황이다.