[개인정보 유출 대란]카드社, 신용 무관한 고객정보 수집 못한다

  • 동아일보
  • 입력 2014년 1월 22일 03시 00분


코멘트

정부 정보유출 방지대책 22일 발표

앞으로 신용카드 업체들은 카드를 발급할 때 결혼기념일 등 꼭 필요하지 않은 고객의 개인 정보를 수집할 수 없다. 또 고객이 카드를 없애면 원칙적으로 개인 정보를 삭제해야 한다.

21일 관련 부처에 따르면 정부는 이 같은 내용의 개인 정보 유출 재발 방지 종합 대책을 22일 발표한다. 신용카드 3개사의 정보 유출 사태로 고객 정보 관리의 허점이 드러나자 서둘러 종합 대책을 내놓기로 한 것이다.

금융감독원은 21일 끝낼 예정이던 카드 3사 특별 현장검사를 2월까지 연장하고 문제가 된 금융회사와 임원진에 대한 징계 수위도 다음 달 중 결정한다. 정부 고위 관계자는 “정교하게 다듬은 대책은 나중에 발표하더라도 일단 큰 틀의 원칙을 먼저 제시하기로 했다”고 말했다. 또 대검찰청 형사부(부장 조은석 검사장)는 전국 63개 일선 검찰청에 2차 피해 여부를 집중적으로 점검하라고 특별 지시했다.

보안 전문가들은 “금융회사들이 어떤 정보를 수집할 수 있는지, 언제까지 보관할 수 있는지 등에 대한 기본 규정의 허점이 사태를 키웠다”며 “개인정보의 ‘수집-활용-폐기’의 전 과정에 대해 근본적으로 다시 들여다봐야 한다”고 지적한다.

○ 무차별한 개인정보 수집 막는다


현재는 신용카드를 발급받을 때 고객이 주민등록번호는 물론이고 결혼 여부, 취미, 자가용 소유 여부 등 민감한 개인정보를 제공해야 한다. 개인정보 활용에 동의하지 않으면 카드 가입이 불가능하다. 카드사 측에서 별다른 설명 없이 서명하라고 독촉하면 고객은 ‘울며 겨자 먹기’로 승낙할 수밖에 없다.

금융당국은 고객 정보를 지나치게 많이 수집한 뒤 이를 마케팅에 활용하는 카드사의 관행이 이번 사태의 빌미가 됐다고 보고 카드사의 개인 정보 수집 범위를 대폭 축소하기로 했다. 이름, 주소 등 필수정보와 직장, 월소득 등 신용 한도 및 등급 산정에 꼭 필요한 정보 외에는 수집을 허용하지 않을 방침이다. 신용카드를 개설할 때 주민등록번호를 받지 않는 방안도 대안으로 거론되고 있다. 정부는 또 개인정보의 종류에 따라 등급을 매긴 뒤 민감한 정보는 수집 범위 및 보유 기간을 제한하는 방안도 검토 중이다.

○ 계열사 간 개인정보 공유 제한

수집한 개인정보를 금융지주 계열사나 제휴사와 공유하는 과정에서도 문제가 드러나고 있다. KB국민카드에서 유출된 개인정보 4320만 건 중 1157만 건은 KB국민은행 고객 정보였다. 카드에 가입한 적이 없는 고객 상당수가 유출 피해를 본 것도 이 때문이다.

금융 계열사와 제휴사 간의 개인 정보 공유와 활용은 고객의 명확한 동의를 거치도록 엄격히 제한할 방침이다. 박노형 고려대 법학전문대학원 교수는 “고객의 동의만 받으면 괜찮다는 생각이 너무 만연되어 있다”며 “소비자들에게 책임을 떠넘기지 말고 금융사의 정보 공유를 제한해 피해를 막을 필요가 있다”고 말했다.

○ ‘쉽사리 잊혀지지 않는’ 개인정보

카드 해지, 탈회를 해도 카드사가 개인정보를 폐기하지 않고 보관하고 있다는 점도 문제다. 정부는 카드 해지를 하면 해당 금융사가 개인정보를 삭제하게 하는 방안을 검토 중이다. 이번 카드 정보 유출 사건에서도 10년 전 해지했는데도 정보 유출 피해를 보았다는 주장이 잇달아 나오는 데 따른 대책이다.

현재 권고 사항인 ‘금융회사 주민등록번호 암호화’는 반드시 지켜야 할 원칙으로 바뀐다. 지금까지 일부 금융회사는 직원 PC로 고객의 주민등록번호 13자리를 모두 볼 수 있게 허용해 왔다. 또 외부 용역업체 직원에 대한 내부 통제를 강화한다.

당국은 금융사 임원이 최고정보책임자(CIO)와 최고정보보호책임자(CISO)를 겸직하는 것도 문제점으로 보고 있다. 정보기술(IT)을 다룬다는 점에서는 업무가 비슷하지만, CIO는 편리함을 강조하고 CISO는 보안에 방점을 두기 때문에 목표가 정반대다. 이에 대한 해결책도 이번 대책에 포함될 것으로 보인다.

기존에 내놓은 ‘징벌적 과징금 제도’ 도입은 예정대로 추진한다. 김종구 개인정보보호 범국민운동본부 운영위원장은 “정보 유출 사건에 대해 지금까지의 법원 판결과 행정적 처벌 모두 너무 약했다”며 “600만 원의 과징금과 주의적 경고에 그칠 것이 아니라 피해 규모에 따라 수백억 원의 과징금을 부과해 개인정보 유출이 얼마나 심각한 문제인지를 알게 해야 한다”고 말했다.

이상훈 january@donga.com·신수정 기자
#개인정보 유출#정보유출 방지대책
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스