무소불위+직무유기+적반하장

지주회사법 고쳐 개인정보 무한공유 길 터주더니

예고된참사에 고객책임 들먹이는 장관의 후안무치

대규모 개인신용정보 유출 사태가 일어난 가운데 지난 1월21일 서울 소공동 롯데백화점 본점에서 신용카드를 재발급 받으려는 고객들이 북새통을 이루고 있다.한겨레 류우종

정부가 지난 1월22일 ‘금융회사 고객정보유출 재발 방지 대책’을 내놓았다. KB국민·NH농협·롯데 등 3개 신용카드회사가 개인정보 1억400만 건(개인·법인 회원 및 중복 회원 수를 포함)을 불법 유출한 사건에 대한 후속 조처다. 대책에는 △금융그룹 내 자회사 간 정보 공유시 고객 동의 필수 △거래 종료 고객 정보 5년간 보관 △불법 정보 활용 금융회사에 과징금 도입 △시스템 개발 등 외부 위탁시 최고경영자(CEO) 사전 승인 등이 포함됐다.

하지만 시계를 10일만 돌려보면 금융 당국의 ‘검은 속내’를 엿볼 수 있다. 지난 1월13일 대통령 직속 개인정보보호위원회는 금융지주회사법을 개선하라고 금융위원회에 권고했다. 핵심 내용은 이렇다. 첫째, 금융지주사가 개인정보를 계열사에 제공·이용할 때 고객의 동의를 받아야 한다. 둘째, 금융지주사가 고객 정보를 제공·이용하면 정기적으로 그 명세를 통지해야 한다. 이유는 개인정보 자기결정권을 보장하기 위해서다. 이는 내 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할지 정보 주체가 스스로 결정하는 권리를 말한다. 개인정보 자기결정권을 명시한 개인정보보호법이 2011년에 제정됐다. 현행 금융지주회사법은 개인정보보호법의 입법 취지와 어긋나 개정이 필요하다고 개인정보보호위가 이날 판단한 것이다. 금융지주회사법 제48조 제1항은 지주사가 고객의 동의 없이 개인 신용정보를 영업상의 이용 목적으로 계열사에 제공할 수 있도록 돼 있다. 은행이 수집한 고객정보를 카드회사, 보험회사, 캐피털 등으로 마구 돌려 활용할 수 있다는 얘기다. 국내 신용카드 고객이 2천만 명인데 3개 카드사의 유출 개인정보가 1억 건이 넘는 이유가 여기에 있다.

방귀 뀐 놈이 성낸다더니

금융위는 즉각 반대하고 나섰다. 금융시장에 불필요한 혼란을 일으킬 우려가 있다는 이유에서다. “금융지주사가 고객의 개인정보를 계열사에 제공할 때 고객의 동의를 구하도록 법률을 개정하기 곤란하다. 금융지주사에 대한 특례제도가 사실상 폐지되기 때문이다. 개인정보를 제공하거나 이용했다고 고객에게 통보하는 것도 (금융지주사의) 비용이 많이 들어서 받아들이기 어렵다. 금융지주사는 공통 고객등급 산출 등을 위해 고객 정보를 빈번하게 제공한다.”

광고

금융위 자료를 보면, 12개 금융지주사가 2011년부터 2012년까지 2년간 1217회에 걸쳐 40억 건의 고객정보를 계열사에 제공했다. 주민등록번호, 집주소, 전화번호 외에도 신용카드 사용 한도, 사용 실적, 카드 번호, 신용등급 등 고객의 신용정보가 다 털렸는데도 금융 당국은 이렇게 태평했다. 창원지점이 고객정보 유출 사건의 자료를 사흘 전(1월10일)에 금융감독원에 넘겼는데도 말이다.

감독도 처벌도 손 놓았던 금융 당국

하지만 금융회사의 정보 공유가 피해를 키웠다는 비판이 점점 거세지자 금융위는 뒤늦게 입장을 바꿨다. 금융지주사와 계열사 간 정보 공유를 제한하겠다고 했다. 언뜻 보면 개인정보위의 권고를 받아들인 듯하지만 꼼꼼히 따져보면 ‘눈 가리고 아웅’이다. 영업에 활용하는 것은 제한하지만 신용위험 관리 등 경영관리 목적으로는 여전히 길을 터줬기 때문이다. 금융지주그룹이 2년간(2011~2012년) 사용한 고객 정보 가운데 마케팅 목적은 33%(13억 건)에 그쳤다. 나머지 67%(27억 건)는 위험관리, 고객분석 등 경영관리를 위해 쓰였다. 여전히 은행과 카드회사, 보험회사, 캐피털은 경영관리를 명목으로 개인정보를 공유할 수 있다. 게다가 고객 정보 제공·이용 내역 통지 제도도 영업에 활용했을 때로 한정한다고 했다.

금융회사가 개인정보 암호화 작업을 미루는 데도 금융위가 한몫했다. 개인정보보호법은 핵심적인 금융거래 정보를 모두 암호화하도록 규정하고 있다. 하지만 금융회사는 수백억원이 든다는 이유로 수년째 이를 방치했다. “실시간으로 금융정보를 처리해야 하는데 고유식별정보를 암호화화면 매번 정보를 유통할 때마다 풀었다 다시 암호화해야 한다. 막대한 비용이 든다.”(금융업계 관계자) 이번에 문제가 된 3개 카드회사를 비롯해 주요 금융회사는 암호화하지 않기로 내부 합의까지 했다. 개인정보 보호 위반으로 걸려도 3천만원 이하의 과태료만 내면 그만이다. 이러한 금융회사의 법 위반에 금융위는 눈을 감았다. 그 때문에 카드번호, 유효기간, 결제계좌 등 금융거래의 핵심 정보가 대거 노출돼버렸다.

금융 당국의 안일한 대응은 수년간 반복되고 있다. 2011년 현대캐피탈의 고객 정보 해킹 사건 이후 금융정보 유출 사건이 연이어 터졌지만 법 개정 같은 근본적인 대책을 실행하지 않았다. 예를 들어보자. 2012년 이후 삼성카드, 하나SK카드, 메르츠화재, IBK캐피탈에서 내부 직원이 고객 정보를 빼돌린 사건이 일어났다. 임직원은 징계를받고 4개 금융회사는 과태료 600만원을 부과받았다. 신용정보법에서는 1천만원 이하의 과태료를 부과하도록 하는데 시행령에서 그 기준을 600만원으로 더 낮춰놓았다.

광고

‘솜방망이’ 처벌을 일삼을 뿐 아니라 고객 정보 유출을 감독하는 데도 손을 놓았다. 국회 정무위원회 소속 조원진 새누리당 의원은 금감원으로부터 받은 자료를 토대로 이렇게 지적했다. “금감원이 금융기관들의 개인정보 유출 시점에서 길게는 2년, 평균적으로 1년 가까이 개인정보 유출 사실을 인지하지 못하다가 외부 수사기관의 통보 등에 의해 감사에 착수한 것으로 드러났다.” 자료를 보면, 2009년 9월 고객 정보 9만 건을 해킹당한 한 캐피털 업체에 대한 금감원 감사는 유출 시점에서 26개월이 지난 2011년 11월에야 이뤄졌다.

1월22일 정부는 개인정보 보호 의무를 위반한 금융회사에 대한 처벌을 강화하겠다고 밝혔다. 고객의 동의 없이 정보를 수집하거나 제3자에게 정보를 넘기고, 이를 활용해 영업했을 경우 금융회사 매출액의 1%까지 과징금을 물리도록 법 개정을 추진한다. 신제윤 금융위원장은 “사실상 상한이 없어지는 강력한 제재”라고 말했다. 하지만 이때 기준으로 삼는 매출액은 불법 정보를 활용해 얻은 매출액을 의미한다. 실제 과징금 부과 금액은 많지 않을 가능성이 크다는 뜻이다.

외양간 고칠 의지는 있나

안일한 인식은 현오석 부총리 겸 기획재정부 장관의 발언에서도 드러난다. 지난 1월22일 경제관계장관 회의가 끝난 뒤 기자들이 신 위원장과 최수현 금감원장의 사퇴를 고려하느냐고 물었다. 현 장관은 “어리석은 사람이 무슨 일이 터지면 책임을 따진다. 지금 중요한 것은 사태를 수습하는 일”이라고 대답했다. “금융소비자도 정보를 제공하는 단계부터 신중해야 한다. 우리가 다 정보 제공에 동의해줬지 않느냐.” 적반하장이다. 고객의 동의 없이 개인정보를 공유하도록 한 금융지주회사법을 개정하는 데 반대해왔으면서 엉뚱하게 금융소비자에게 책임의 화살을 돌린 것이다. 특히 3개 카드회사가 1억 건이 넘는 개인정보를 보유한 것은 고객도 모르게 개인정보를 이리저리 수년간 넘긴 금융회사와 이를 허용한 금융 당국 탓이었다. 소 잃고 외양간을 고칠 의지마저 정부는 없어 보인다.

정은주 기자 ejung@hani.co.kr

광고