정부가 10일 발표한 ‘금융분야 개인정보 유출 재발방지 종합대책’은 지난 1월 22일 내놓은 ‘금융회사 고객정보 유출 재발방지 대책’의 후속 조치를 담고 있다.
개인 신용정보의 수집에서 파기에 이르는 전 과정의 단계별 정보 보호와 이에 대한 금융회사의 책임 강화를 큰 틀로 유지하면서 1월 발표의 대책을 구체화하고, 일부 내용을 추가했다.
그러나 이번 대책은 정부가 2주씩 연기하며 내놓은 대책치고는 그다지 새로운 내용을 담고 있지 않다는 지적이 나온다. 유사 사고의 재발방지를 막기 위해서는 정부의 실행 의지가 중요하다고 전문가들은 지적한다.
◇”고객정보 이용, 고객이 결정”…종교·결혼날짜 수집 ‘NO’
이번 대책에서 가장 눈에 띄는 것 중의 하나는 개인이 본인 정보를 보호할 수 있도록 요청할 수 있는 권리, 즉 ‘자기정보결정권’을 보장하는 내용이다.
그동안 금융회사에 한 번 자신의 정보를 제공하면 이용·활용에 대한 권리는 사실상 금융회사의 몫이었지만, 앞으로는 이를 고객에게 돌려주겠다는 취지다.
정부가 지난 1월 발표시 거래종료 고객이 금융회사에 불필요한 자료 삭제를 요청할 수 있도록 도입을 검토했던 ‘개인신용정보 보호요청제도’를 확대한 것이다.
자기정보결정권은 고객이 금융회사와 계약을 체결한 이후부터 거래가 끝난 이후까지 전 과정에서 자신의 정보가 제대로 보호되고 있는지를 확인할 수 있다.
우선 본인의 신용정보가 어떻게 이용·제공되고 있는지 확인을 요청할 수 있고, 금융회사에 영업 목적으로 전화 등의 연락을 하지 말라고 할 수도 있다.
기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융회사가 보유한 자신의 정보에 대해 파기·보안을 요구할 수 있다.
명의 도용이 의심되는 경우 일정기간(1일) 신용 조회 중지도 요청할 수 있다.
이번 대책은 또 현재 금융업권별·상품별로 최대 50개를 넘는 수집 정보 항목을 6~10개의 필수 항목과 선택 항목으로 구분하고, 이를 최소화하도록 하는 구체적인 내용을 담았다.
공통의 필수 정보는 이름·고유식별번호(주민번호 등)·주소·연락처·직업군·국적의 6개로 한정하고, 업권·상품별로 4개까지 추가할 수 있도록 했다. 가령 재형저축·펀드 가입시 연소득, 질병보험 가입시 병력사항 등이 해당된다.
결혼기념일이나 종교, 배우자와 가족 정보 등에 대해서는 원칙적으로 수집이 금지되고, 선택 항목에 동의하지 않아도 불이익은 받지 않는다.
동의서 양식도 구체화했다. ‘필수사항’과 ‘선택사항’을 별도 페이지로 구분하고, 글자 크기(10~12포인트 이상)와 줄 간격(130% 이상)에 대한 지침도 정했다.
부가서비스 이용시 정보를 모든 제3자에 제공해야 했던 ‘포괄적 정보제공 동의’를 세분화해 동의를 받도록 하고, 거래 종료 후에는 원칙적으로 식별·거래정보 등만 보관하고, 3개월 이내에 파기하도록 했다.
개인정보 유출·활용한 금융회사에 부과하는 ‘징벌적 과징금’은 지난 1월 발표의 매출액 1%에서 3%로 강화했다. 금융회사가 보안대책을 미비하면 부과하는 과태료도 기존 최대 5천만원까지 신설·확대했다.
아울러 불법정보 유출 관련 사고가 3년 내에 재발시 해당 금융회사의 허가를 취소하기로 하는 등 구체적인 제재 수위를 정했다.
◇주민번호 한 번만 직접 입력…IC결제 조기 도입
이번 대책에는 또 주민등록번호가 과다하게 노출되는 관행을 개선하려는 조치가 추가됐다. 주민번호는 처음 한 번만 수집할 수 있고, 최초 거래시에는 고객이 직접 인증센터와 연결된 전자단말기에 입력(Key-in)하는 형태다.
정부는 이와 함께 고객 결제시 정보가 유출될 소지가 있는 사각지대에 대한 안정성 강화 내용도 추가했다.
내년부터는 IC단말기 설치 가맹점에서의 IC결제를, 2016년부터는 전 가맹점에서 IC결제가 의무화된다.
정보 유출 위험성이 상대적으로 높은 포스단말기를 많이 사용하는 일반·대형가맹점에 대해 연말까지 우선 IC단말기로 전환하도록 유도된다.
매출 내역이나 고객 관리 등을 위해 포스단말기를 이용하는 가맹점 단말기에 카드결제승인 관련 정보도 저장돼 정보 유출 위험성이 높기 때문이다.
영세 가맹점은 사회공헌기금이나 소멸포인트 등을 조성해 교체가 지원된다.
정부는 하반기에는 IC결제 ‘우선 승인제’를 도입하기로 했다. IC 결제 승인 시간이 마그네틱(MS) 결제보다 적게 소요되거나, 가맹점이 IC결제 가능 단말기에서 MS 결제 승인 요청시 최초 1회는 승인이 거절되도록 할 계획이다.
그동안 정보 유출 우려가 있음에도 사실상 법의 테두리 밖에 있었던 밴사에 대한 관리·감독 강화 방안도 이번 대책에 포함됐다.
정부는 밴사를 ‘여신전문금융업법’상 등록제로 운영해 일정한 자격요건을 갖춰 등록하도록 할 계획이다.
금융사 내·외부 통제를 강화하고 해킹방지를 위한 대책도 강화했다.
금융회사별 ‘보안점검의 날’을 지정해 필수 보안규정이 누락되지 않도록 ‘금융보안 표준 체크리스트’를 마련하고, 외주용역에 대해서는 ‘외주용역 일일 체크리스트’를 마련해 일일점검을 하도록 할 계획이다.
해킹 방지를 위해 금융사의 고객정보 데이터베이스에 저장된 고유식별정보의 암호화를 추진하고, 금융전산 보안관제 범위를 은행·보험·카드까지 확대하기로 했다. 금융전산 보안인증제도 도입·확대해 공개하기로 했다.
아울러 금융결제원 및 코스콤의 보안관제조직(ISAC)을 분리하고, 이를 금융보안연구원과 통합하는 방식으로 ‘금융전산 보안전담 기구’도 설치하기로 했다.
이 기구는 금융전산 보안관제 실시, 보안인증제 운영, 보안정책 연구·교육, 보안전문인력 양성 등 종합서비스를 제공하게 된다.
◇대책 발표 2주 연기…”정부 지속적 실행 의지 중요”
이번 대책은 당초 정부가 발표하려던 당초 계획에서 2주 미뤄졌다.
2월 말로 예정됐던 이번 대책은 3월 3일로 한 차례 연기됐고, 이후 부처간 협의가 난항을 겪으면서 1주일 뒤인 3월 10일로 다시 미뤄졌다.
정부가 발표를 연기하면서 이번 대책은 지난 1월22일의 세부 시행 내용을 담고 있으면서 개인정보보호 전반에 대한 종합 대책이 나올 것으로 예상됐다.
금융회사뿐만 아니라 다른 기업들도 무분별하게 개인 정보를 수집해 정보 유출의 우려가 제기됐고, 실제 일부 기업에서는 정보가 유출되기도 했다.
정부는 이미 지난 1월 초 카드 3사의 고객 정보 유출이 발생했을 때 금융위·안행부·방통위 등 유관기관 합동으로 ‘고객정보보호 정상화 TF’도 가동했다.
그러나 이번 대책은 ‘금융’ 분야에만 한정됐다. 게다가 일부 내용이 추가되거나 구체화 되기도 했지만 1월 대책의 범위에서 크게 새로운 내용은 없었다.
TF 가동 단 5일 만에 1차 대책을 내놓았던 정부가 이번에는 2주일씩이나 연기해가면서 내놓은 대책치고는 내용이 없다는 지적이 나올 수 있는 이유다.
금융위 관계자는 “이번 대책은 금융 분야에 한정된 것이고, 개인정보보호 전반에 대한 대책은 총리실 TF를 통해 추후에 발표될 예정”이라고 말했다.
이번 대책들이 얼마나 실효성이 있을지에 대해서는 전문가들은 다소 냉랭한 반응이다.
자기정보결정권 보장과 관련해서는 개인이 일일이 금융회사에 자신의 정보에 대해 조회·파기 등을 요청하기는 쉽지 않을 것이란 시각이 있다.
또 징벌적 과징금을 기존 매출액의 1%에서 3%로 높였지만, 관련 매출액을 어떻게 산정하는지에 대해서는 금액이 천차만별일 수 있어 유사 사고가 발생하더라도 부과되는 금액이 실제보다 적어질 수 있다는 지적도 나온다.
특히 정부가 검토하겠다고는 했지만, 징벌적 손해배상이나 배상명령제, 집단소송제 등이 빠진 점은 소비자 피해 구제를 외면했다는 비판도 제기된다.
아울러 신용정보법 등 관련법을 개정해야 하는 사항이 많아 언제 시행이 될 수 있을지에 대한 의문도 제기된다.
신용정보법 개정안은 이미 국회에 올라가 있지만, 지난달 정치권의 이해관계가 엇갈리면서 통과가 안됐다. 6월 지방선거도 앞두고 있어 상황이 녹록지 않다.
금융위 관계자는 “신용정보법과 전자금융거래법 등 법률 개정안은 적극적으로 국회를 설득해 상반기 중 국회 통과를 추진하겠다”고 말했다.
전문가들은 결국 정부의 실행 의지가 중요하다고 입을 모으고 있다.
유사 사고가 발생했을 때마다 대책이 나왔음에도 사고가 또 발생하는 것은 대책이 미흡한 것이 아니라 정부의 실행 의지가 약했기 때문이라는 것이다.
특히, 경제 상황이 어렵다는 점을 들어 정부가 그동안 번번이 기업에 대한 ‘솜방망이 처벌’을 했던 것처럼 앞으로도 후퇴하는 있다는 우려도 있다.
임종인 고려대 정보보호대학원 교수는 “대책도 대책이지만, 대책을 지속적으로 실행하려는 정부의 의지가 중요하다”고 지적했다.
연합뉴스
개인 신용정보의 수집에서 파기에 이르는 전 과정의 단계별 정보 보호와 이에 대한 금융회사의 책임 강화를 큰 틀로 유지하면서 1월 발표의 대책을 구체화하고, 일부 내용을 추가했다.
그러나 이번 대책은 정부가 2주씩 연기하며 내놓은 대책치고는 그다지 새로운 내용을 담고 있지 않다는 지적이 나온다. 유사 사고의 재발방지를 막기 위해서는 정부의 실행 의지가 중요하다고 전문가들은 지적한다.
◇”고객정보 이용, 고객이 결정”…종교·결혼날짜 수집 ‘NO’
이번 대책에서 가장 눈에 띄는 것 중의 하나는 개인이 본인 정보를 보호할 수 있도록 요청할 수 있는 권리, 즉 ‘자기정보결정권’을 보장하는 내용이다.
그동안 금융회사에 한 번 자신의 정보를 제공하면 이용·활용에 대한 권리는 사실상 금융회사의 몫이었지만, 앞으로는 이를 고객에게 돌려주겠다는 취지다.
정부가 지난 1월 발표시 거래종료 고객이 금융회사에 불필요한 자료 삭제를 요청할 수 있도록 도입을 검토했던 ‘개인신용정보 보호요청제도’를 확대한 것이다.
자기정보결정권은 고객이 금융회사와 계약을 체결한 이후부터 거래가 끝난 이후까지 전 과정에서 자신의 정보가 제대로 보호되고 있는지를 확인할 수 있다.
우선 본인의 신용정보가 어떻게 이용·제공되고 있는지 확인을 요청할 수 있고, 금융회사에 영업 목적으로 전화 등의 연락을 하지 말라고 할 수도 있다.
기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융회사가 보유한 자신의 정보에 대해 파기·보안을 요구할 수 있다.
명의 도용이 의심되는 경우 일정기간(1일) 신용 조회 중지도 요청할 수 있다.
이번 대책은 또 현재 금융업권별·상품별로 최대 50개를 넘는 수집 정보 항목을 6~10개의 필수 항목과 선택 항목으로 구분하고, 이를 최소화하도록 하는 구체적인 내용을 담았다.
공통의 필수 정보는 이름·고유식별번호(주민번호 등)·주소·연락처·직업군·국적의 6개로 한정하고, 업권·상품별로 4개까지 추가할 수 있도록 했다. 가령 재형저축·펀드 가입시 연소득, 질병보험 가입시 병력사항 등이 해당된다.
결혼기념일이나 종교, 배우자와 가족 정보 등에 대해서는 원칙적으로 수집이 금지되고, 선택 항목에 동의하지 않아도 불이익은 받지 않는다.
동의서 양식도 구체화했다. ‘필수사항’과 ‘선택사항’을 별도 페이지로 구분하고, 글자 크기(10~12포인트 이상)와 줄 간격(130% 이상)에 대한 지침도 정했다.
부가서비스 이용시 정보를 모든 제3자에 제공해야 했던 ‘포괄적 정보제공 동의’를 세분화해 동의를 받도록 하고, 거래 종료 후에는 원칙적으로 식별·거래정보 등만 보관하고, 3개월 이내에 파기하도록 했다.
개인정보 유출·활용한 금융회사에 부과하는 ‘징벌적 과징금’은 지난 1월 발표의 매출액 1%에서 3%로 강화했다. 금융회사가 보안대책을 미비하면 부과하는 과태료도 기존 최대 5천만원까지 신설·확대했다.
아울러 불법정보 유출 관련 사고가 3년 내에 재발시 해당 금융회사의 허가를 취소하기로 하는 등 구체적인 제재 수위를 정했다.
◇주민번호 한 번만 직접 입력…IC결제 조기 도입
이번 대책에는 또 주민등록번호가 과다하게 노출되는 관행을 개선하려는 조치가 추가됐다. 주민번호는 처음 한 번만 수집할 수 있고, 최초 거래시에는 고객이 직접 인증센터와 연결된 전자단말기에 입력(Key-in)하는 형태다.
정부는 이와 함께 고객 결제시 정보가 유출될 소지가 있는 사각지대에 대한 안정성 강화 내용도 추가했다.
내년부터는 IC단말기 설치 가맹점에서의 IC결제를, 2016년부터는 전 가맹점에서 IC결제가 의무화된다.
정보 유출 위험성이 상대적으로 높은 포스단말기를 많이 사용하는 일반·대형가맹점에 대해 연말까지 우선 IC단말기로 전환하도록 유도된다.
매출 내역이나 고객 관리 등을 위해 포스단말기를 이용하는 가맹점 단말기에 카드결제승인 관련 정보도 저장돼 정보 유출 위험성이 높기 때문이다.
영세 가맹점은 사회공헌기금이나 소멸포인트 등을 조성해 교체가 지원된다.
정부는 하반기에는 IC결제 ‘우선 승인제’를 도입하기로 했다. IC 결제 승인 시간이 마그네틱(MS) 결제보다 적게 소요되거나, 가맹점이 IC결제 가능 단말기에서 MS 결제 승인 요청시 최초 1회는 승인이 거절되도록 할 계획이다.
그동안 정보 유출 우려가 있음에도 사실상 법의 테두리 밖에 있었던 밴사에 대한 관리·감독 강화 방안도 이번 대책에 포함됐다.
정부는 밴사를 ‘여신전문금융업법’상 등록제로 운영해 일정한 자격요건을 갖춰 등록하도록 할 계획이다.
금융사 내·외부 통제를 강화하고 해킹방지를 위한 대책도 강화했다.
금융회사별 ‘보안점검의 날’을 지정해 필수 보안규정이 누락되지 않도록 ‘금융보안 표준 체크리스트’를 마련하고, 외주용역에 대해서는 ‘외주용역 일일 체크리스트’를 마련해 일일점검을 하도록 할 계획이다.
해킹 방지를 위해 금융사의 고객정보 데이터베이스에 저장된 고유식별정보의 암호화를 추진하고, 금융전산 보안관제 범위를 은행·보험·카드까지 확대하기로 했다. 금융전산 보안인증제도 도입·확대해 공개하기로 했다.
아울러 금융결제원 및 코스콤의 보안관제조직(ISAC)을 분리하고, 이를 금융보안연구원과 통합하는 방식으로 ‘금융전산 보안전담 기구’도 설치하기로 했다.
이 기구는 금융전산 보안관제 실시, 보안인증제 운영, 보안정책 연구·교육, 보안전문인력 양성 등 종합서비스를 제공하게 된다.
◇대책 발표 2주 연기…”정부 지속적 실행 의지 중요”
이번 대책은 당초 정부가 발표하려던 당초 계획에서 2주 미뤄졌다.
2월 말로 예정됐던 이번 대책은 3월 3일로 한 차례 연기됐고, 이후 부처간 협의가 난항을 겪으면서 1주일 뒤인 3월 10일로 다시 미뤄졌다.
정부가 발표를 연기하면서 이번 대책은 지난 1월22일의 세부 시행 내용을 담고 있으면서 개인정보보호 전반에 대한 종합 대책이 나올 것으로 예상됐다.
금융회사뿐만 아니라 다른 기업들도 무분별하게 개인 정보를 수집해 정보 유출의 우려가 제기됐고, 실제 일부 기업에서는 정보가 유출되기도 했다.
정부는 이미 지난 1월 초 카드 3사의 고객 정보 유출이 발생했을 때 금융위·안행부·방통위 등 유관기관 합동으로 ‘고객정보보호 정상화 TF’도 가동했다.
그러나 이번 대책은 ‘금융’ 분야에만 한정됐다. 게다가 일부 내용이 추가되거나 구체화 되기도 했지만 1월 대책의 범위에서 크게 새로운 내용은 없었다.
TF 가동 단 5일 만에 1차 대책을 내놓았던 정부가 이번에는 2주일씩이나 연기해가면서 내놓은 대책치고는 내용이 없다는 지적이 나올 수 있는 이유다.
금융위 관계자는 “이번 대책은 금융 분야에 한정된 것이고, 개인정보보호 전반에 대한 대책은 총리실 TF를 통해 추후에 발표될 예정”이라고 말했다.
이번 대책들이 얼마나 실효성이 있을지에 대해서는 전문가들은 다소 냉랭한 반응이다.
자기정보결정권 보장과 관련해서는 개인이 일일이 금융회사에 자신의 정보에 대해 조회·파기 등을 요청하기는 쉽지 않을 것이란 시각이 있다.
또 징벌적 과징금을 기존 매출액의 1%에서 3%로 높였지만, 관련 매출액을 어떻게 산정하는지에 대해서는 금액이 천차만별일 수 있어 유사 사고가 발생하더라도 부과되는 금액이 실제보다 적어질 수 있다는 지적도 나온다.
특히 정부가 검토하겠다고는 했지만, 징벌적 손해배상이나 배상명령제, 집단소송제 등이 빠진 점은 소비자 피해 구제를 외면했다는 비판도 제기된다.
아울러 신용정보법 등 관련법을 개정해야 하는 사항이 많아 언제 시행이 될 수 있을지에 대한 의문도 제기된다.
신용정보법 개정안은 이미 국회에 올라가 있지만, 지난달 정치권의 이해관계가 엇갈리면서 통과가 안됐다. 6월 지방선거도 앞두고 있어 상황이 녹록지 않다.
금융위 관계자는 “신용정보법과 전자금융거래법 등 법률 개정안은 적극적으로 국회를 설득해 상반기 중 국회 통과를 추진하겠다”고 말했다.
전문가들은 결국 정부의 실행 의지가 중요하다고 입을 모으고 있다.
유사 사고가 발생했을 때마다 대책이 나왔음에도 사고가 또 발생하는 것은 대책이 미흡한 것이 아니라 정부의 실행 의지가 약했기 때문이라는 것이다.
특히, 경제 상황이 어렵다는 점을 들어 정부가 그동안 번번이 기업에 대한 ‘솜방망이 처벌’을 했던 것처럼 앞으로도 후퇴하는 있다는 우려도 있다.
임종인 고려대 정보보호대학원 교수는 “대책도 대책이지만, 대책을 지속적으로 실행하려는 정부의 의지가 중요하다”고 지적했다.
연합뉴스
