NEIS 정보까지 공유했다

금융지주사 고객정보 활용 현황 단독 입수
직장·직위·가족관계·예금잔액 공유는 기본

2011~2012년 12개 금융지주사 내에서는 약 40억 건의 고객정보가 공유됐다. 지난해 12개 금융지주사들이 금융위원회에 제출한 2011~2012년 고객정보 활용 현황.한겨레 신소영

보험사 상품 가입 전화를 종종 받는 당신. ‘도대체 내 정보를 어떻게 알았느냐’고 다그치다 ‘○○은행 고객님이니까요’란 답답한 답을 들었을지 모른다. 금융지주회사법 제48조 2항에 따라 금융지주그룹 내 회사들은 고객의 동의 없이도 금융거래정보와 개인신용정보 등을 ‘영업상’ 이용할 수 있다. 금융지주사 등은 고객정보 이용 현황을 통지할 의무가 없다. 금융지주그룹에 빨려들어간 내 정보가 어디서 어떻게 활용되는지는 도저히 알 길이 없다.

<font size="4"><font color="#008ABD">내밀한 정보까지 텔레마케팅 용도로 제공</font></font>

은 국회 정무위원회 소속 민주당 김기식 의원실을 통해 지난해 12개 금융지주사가 금융위원회에 제출한 ‘2011~2012년 고객정보 활용 현황’을 단독 입수했다. 2년간 12개 금융지주사 자회사 간에 공유된 40억 건의 고객정보 내용 및 활용 목적이 들어 있는 문서다. 금융지주사 등은 수십 가지 항목의 고객정보를 리스크 관리, 신용등급 평가, 고객·산업 분석, 마케팅 전략 수립, 우수 고객 관리, 텔레마케팅(TM) 등 다양한 목적으로 활용하고 있었다.

보험사가 TM을 이유로 다른 계열사들로부터 받는 정보는 단순히 이름과 연락처만이 아니다. NH농협은행은 NH농협생명에 보험상품 TM 목적으로 카드 가입일, 최근 카드 사용일 등을 포함해 무려 23개 항목을 제공했다. KB생명보험도 보험상품 TM을 위해 KB국민카드로부터 고객 이름·연락처뿐 아니라 주민등록번호, 카드번호 및 유효기간을 받았다. 이렇게 2년간 KB생명보험이 이용한 국민카드 고객정보는 1천만 건이 훌쩍 넘는다. KB국민은행은 최근 개인신용정보 유출 사고가 난 국민카드에 고객 분석 및 마케팅 목적으로 주민등록번호와 예금잔액 정보를 제공했다. 하나HSBC생명보험은 하나은행으로부터 고객 이름, 주민등록번호, 전화번호(자택·직장·휴대전화), 주소(자택·직장), 직장명, 직위, 카드번호, 카드 유효기간, 결혼 여부, 자녀 수, 전자우편 주소, 신규 카드 발급 여부 등의 정보를 받았다. 이 모든 정보의 활용 목적도 보험상품 TM이었다. 하나은행은 하나캐피탈에 대출상품 TM 용도로 이름, 전화번호, 직장명, 직위, 스마트론 평점 등을 제공했다. 우리은행 역시 우리아비바생명보험에 주민등록번호와 직장명 등 16가지 고객정보를 넘겼다. 김보라미 변호사(법무법인 나눔)는 “개인정보보호법에 따르면 회사가 다른 회사에 고객정보를 제공할 때는 고객의 동의가 필요하지만 금융지주그룹은 예외로 돼 있어서 단순한 마케팅 목적을 넘어서는 수준의 광범위한 고객정보가 활용되고 있다”고 분석했다.

1

신한은행이 신한카드에 마케팅을 목적으로 제공한 고객정보 항목은 다음과 같다. 실명번호(주민등록번호 등 개인식별이 가능한 번호) 및 이름, 최근 3개월간의 유동성 평균 잔액, 최근 3개월 내 창구 거래 여부, 직장 주소, 직장과 가장 가까운 지점명, 가족관계, 주거 정보, 월수급 금액, 월평균 인출 금액. 신한카드는 다시 신한은행에 마케팅을 목적으로 실명번호, 최근 3년간 자동차 점검·수리업체 이용 여부, 최근 12개월간 롯데백화점 이용 건수 및 금액, 이용 앱 및 최근 6개월간 접속 건수, S-MORE 카드 보유 여부, 최근 카드 발급월, 휴면 개월수, 직업, 경찰공제회 카드 보유 여부 등의 정보를 제공했다. 이 밖에 메리츠금융지주는 지점홍보·상품판매·보험영업 용도로 소유 차종, 종합자산관리계좌(CMA) 보유 금액, 최초 계좌 개설일 등의 고객정보를 이용했다. BS금융지주는 영업 및 마케팅 목적으로 식별번호 외에 연체정보, 여수신거래실적 등을 활용한 것으로 나타났다.

<font size="4"><font color="#008ABD">정보 제공자의 결정권 보장해야</font></font>

1

하나SK카드는 은행-카드 연계 상품을 판매하기 위한 타깃 고객 분석 용도로 이름, 주민등록번호, 주 사용카드 상품명, 학원·백화점·대형마트 이용 금액, 카드 신규 입회연월 등을 하나은행으로 보냈다. 신한카드는 신용은행에 ‘고객 분석’을 이유로 실명번호와 카드 사용 실적, 고객명, 결제계좌번호, 결제계좌 등록일자, 카드번호, 해당월 이용 금액 등을 제공했다. DGB금융지주 자회사인 대구은행은 2012년 ‘학생증 카드 출결시스템 구축’ 과정에서 또 다른 자회사인 카드넷에 학생 이름, 교통카드 번호, 교육행정정보시스템(NEIS) 번호 3개 항목 3천 건을 넘겼다. 도대체 어떻게 된 일일까. 대구은행은 2010년 대구·경북 지역 교통카드사인 카드넷을 인수했다. 금융위 관계자는 “학교가 해당 은행과 교통카드 및 출결석 자동 체크 기능이 있는 학생증을 공급받기로 계약을 맺었고, 은행이 시스템 구축을 위해 다른 자회사에 정보를 준 것”이라고 설명했다. NEIS 번호에 대해서는 “출결 상황이 NEIS에 자동으로 입력될 수 있도록 학생 개인을 식별해주는 정보”라고 설명했다.

<font color="#A6CA37">“고객들로부터 정보 공유에 대해 사전 동의를 받거나 피해를 손쉽게 구제할 수 있는 등 개인이 자신의 정보를 컨트롤할 수 있는 장치를 만들어야 한다.” -김상조 한성대 교수</font>

금융지주사는 2000년 겸업을 통한 금융산업 경쟁력 강화의 일환으로 탄생했다. 지난해 금융위는 또다시 경쟁력 강화를 명분으로 계열사 간 정보 공유 확대 방안을 제시한 바 있다. 김상조 한성대 교수(경제학)는 “미국 금융지주회사는 자회사 주식을 100% 소유하는 방식으로 수직적으로 내려가므로 사실상 하나의 기업이고 그 안의 정보 공유는 당연한 것으로 여겨지지만, 정보 공유 오·남용에 대한 통제 장치는 우리 금융지주사에 비해 매우 강하다”고 설명했다. 미국에서는 ‘마케팅 목적의 권유’를 위한 정보 공유를 고객이 거절할 수 있는 기회를 부여하고 있다. 또 업체는 계열사 간 정보 공유 내용을 해마다 정보 주체에게 알리도록 돼 있다

<font size="4"><font color="#008ABD">“금융소비자 배상명령제도 도입해야” </font></font>

오길영 신경대 교수(경찰행정학)는 “금융지주회사법에는 ‘고객정보를 영업상 이용하게 할 목적으로 제공할 수 있다’는 문구만 있을 뿐 정보 주체의 자기결정권이 박탈된 상태이므로 금융지주사 자회사 간 정보 이용 과정에서도 ‘사전 동의’를 받는 정책이 필요하다”고 설명했다. 김상조 교수도 “정부는 금융지주사 자회사 간 정보 공유를 경영관리 목적으로는 허용하고 마케팅 용도로는 제한한다고 하는데, 둘을 명확히 구분하기가 쉽지 않아 효과적인 정책을 집행하기란 불가능하다”며 “고객들로부터 정보 공유에 대해 사전 동의를 받거나 피해를 손쉽게 구제할 수 있는 등 개인이 자신의 정보를 컨트롤할 수 있는 장치를 만들어야 한다”고 말했다.

김기식 의원은 “한국의 경우 금융 당국이 금융업체들의 법 위반 사실을 확인해도 피해자가 민사소송을 제기해야만 손해배상을 받을 수 있다”며 “영국에서 시행 중인 금융소비자 배상명령제도(금융 당국의 명령에 따라 손해배상을 받을 수 있는 제도)를 도입해야 한다”고 주장했다.

박현정 기자 saram@hani.co.kr