개인정보 통 CD로 굽는 통 큰 금융기관

대출영업 전화는 나쁜 목적으로 정보가 유출됐기 때문이라고 생각했는데
2002년 재판에서 신용정보를 수집 목적과 달리 이용해서는 안 된다는 판단 받았지만 CD 배포 방식 변하지 않아

국민카드·롯데카드·농협카드에서 대규모 금융정보가 유출된 사실이 알려진 가운데, 1월24일 오후 서울의 한 카드회사 영업점 개인정보 비상 상담실에서 직원이 카드 재발급 업무 상담을 하고 있다.한겨레 박종식

카드사 금융정보가 무차별하게 유출된 최근의 난리를 보면서 생뚱맞게 격세지감을 느꼈다. 대학에 입학하니 큰 학과의 특성인지 학생 명부를 나눠줬다. 두툼한 책에 사진과 연락처, 출신 학교 등이 쓰여 있는데 거기에 모든 학생의 주민등록번호가 함께 기재돼 있었다. 원래 그랬는지 그해만 유독 행정직원이 실수한 것인지, 아무튼 그랬다. 나중에 그 주민등록번호를 사용해서 남의 시험 점수를 자동응답시스템(ARS)으로 알아보는 놈도 있다는 말이 들렸는데, 그런 꺼림칙한 일이 있기 전까지 우리는(혹은 둔한 나는) 주민등록번호가 그렇게 공개되는 것에 아무런 문제의식이 없었더랬다. 그저 시쳇말로 민증을 까고 호칭을 정하는 데 유용하다 생각했을 뿐. 인터넷도 없었고 리포트를 손으로 써서 내던 때이니 컴퓨터로 ‘정보’가 처리되고 ‘집적’되고 ‘유통’된다는 인식 자체가 별로 없었다.

그때는 남의 점수 알아내는 데 쓴 주민번호…

그러나 얼마 되지 않아 엄청난 정보가 주민등록번호를 매개로 집적·관리된다는 것이 상식이 되었다. ‘신용정보’의 중요성이 알려졌고 ‘신용불량’이라는 말도 배웠다. 인터넷이 일상이 되고 통신기술이 급격히 발달해 그렇게 집적된 개인정보가 이리저리 흘러다니는 일이 흔해지면서, 대출을 받으라거나 보험을 들라는 전화를 받아도 별로 놀라지 않게 되었다. 어떻게 알았는지 내가 받은 대출을 이자가 더 낮은 것으로 갈아타라는 맞춤형 전화도 자주 받았는데, 그저 어떤 나쁜 놈이 개인정보를 유출한 것이라고 생각했다.

그러던 중 2002년 삼성생명이 전국은행연합회에서 받은 신용정보로 대출영업을 했다는 사정이 드러났다. 신용정보를 조합해 ‘타 금융 2천만원 이상 아파트 거주자’ 명단을 만들고 이를 보험설계사들에게 나눠주면서, 전화를 통해 ‘삼성생명 대출로 전환하라’고 권유하게 했다는 것이다.

이 사실이 알려지자 자신의 이름이 그 명단에 포함된 정보 주체들이 하나둘 시민단체로 연락하기 시작했다. 평범한 가정주부부터 작은 비누공장을 운영하는 사장님, 대학생, 평소 보험회사의 작태에 불만이 많던 회사원 등 모두 열여섯 사람이 ‘누가 삼성생명에 내 신용정보까지 마음대로 볼 수 있고 영업에 활용할 수 있는 권리를 부여했느냐’며 소송해보자고 했다.

개인정보 유출이나 부당 사용으로 인한 재산적 손해배상 사례 자체도 드문 때였지만, 이 사건처럼 신용정보를 조회 이외의 목적으로 사용하고 내부자(그동안 ‘외부 자유 계약자’라며 보험설계사들이 근로자라는 것조차 부인하던 회사가 먼저 ‘보험설계사들은 모두 우리 내부 식구’라고 주장하는 진풍경이 펼쳐졌다)들이 단지 영업에 활용하게 한 것으로 인한 무형의 손해를 배상하라는 소송은 아예 없을 때였고, 불행히도 우리 당사자들 중에 실제 영업 전화를 받은 사람이 없어 손해 증명도 걱정됐지만, 언제나 그렇듯 분기탱천해 재판을 시작했다.

회사 쪽 “오히려 이익이 되는 기회 제공”

재판이 진행되면서 신용정보 시스템에 대한 이해가 전무했던 나는 놀라운 사실을 알게 되었다. 은행 거래를 시작하면서 ‘신용정보 조회 동의’를 하면 금융기관이 신용정보집중기관에 조회해 신용도를 판단한다고 막연히 생각했는데, 실제 전국은행연합회는 전 금융기관으로부터 금융거래를 하는 모든 신용정보를 모은 다음, 주기적으로 CD에 저장해 모든 금융기관에 배포한다는 것이었다. 그리하여 모든 금융기관은 금융거래 정보가 있는 국민의 신용정보 데이터베이스를 통째로 가졌고, 이를 조합·편집해 명단을 만드는 것도, 그렇게 만든 명단으로 대출영업 전화를 하는 것도 얼마든지 가능했다. 그때까지만 해도 불법 유출만 없으면 국가에서 신용정보를 소중히 보존하고 신용도 판단 목적으로만 조회할 것이라 순진하게 믿고, 귀찮은 대출영업 전화는 내 정보를 누군가 나쁜 목적으로 유출했기 때문이라고 막연히 생각했던 ‘정보 주체’들, 그러니까 나와 내 고객들은 충격을 받았다.

원고들은 신용정보 사용이 법이 허용하는 ‘신용도 판단을 위한 이용’과는 거리가 멀고, 활용된 주소와 전화번호 등은 더 이상 ‘신용도 판단을 위한 신용정보’가 아니라 영업을 위한 ‘연락처’로 전락했으며, 신용정보법에서 금융기관에 특별히 인정한 ‘신용정보 이용자’로서의 지위를 악용한 것이라고 주장했다. 회사 쪽은 ‘원래 신용정보제도가 그렇게 운영되므로, 합법적으로 받은 데이터를 활용하는 방법 자체를 뭐라 할 수 없다’며 맞섰다. ‘이자가 더 싼 대출로 바꿀 수 있는 기회이니 오히려 이익이 된다’거나 ‘실제 발생한 손해가 없다’고도 했다. 재판이라는 게 원래 유리한 주장은 뭐든 다 하는 것이지만 회사 쪽이 법원에 제출한 신용정보 이용에 관한 잘못된 생각이 진짜 금융기관·대기업의 개인정보에 관한 생각이라면, 앞으로 내 개인정보 보호는 어떻게 될지 심히 걱정됐고, 다른 금융기관의 모범이 돼야 할 국내 굴지의 보험회사가 타 금융기관과의 거래 정보를 문서화해 자사의 영업 목적으로 위법하게 이용하고 그런 신용정보 이용도 ‘적극적 활용’의 한 형태로 적법하다며 다투는 것을 보면, 소비자가 기업을 믿을 수 있는 진짜 ‘신용사회’는 아직 멀었다는 생각이 들었다.

다행히 법원은 “거래 관계 설정 및 유지 여부 등에 관한 판단 목적 이외에 다른 목적으로 신용정보를 활용하는 것에 동의한 것은 아니고, 경제적으로 도움이 되는 영업이라고 하더라도 신용정보 활용으로 다른 서비스를 제공받을지 여부는 그 위험성에 관한 충분한 인식을 바탕으로 한 고객의 선택에 맡겨야 하는 것이지 영업 주체가 임의로 결정할 것은 아니다”며 원고 청구를 인정했고, 이 판단이 항소심과 대법원에서도 유지됐다.

“동의 없이 활용해서는 안 됨”의 역효과

그러나 뜻이 좋다고 파생되는 결과가 모두 바람직하란 법은 없는지, 신용정보를 처음 수집한 목적과 달리 이용해서는 안 된다는 판단을 받아냈지만 처음에 가장 심각하게 문제 삼았던 ‘통 CD 배포 방식’의 신용정보 시스템은 변하지 않았고, “동의 없이 활용해서는 안 된다”는 법원의 판단은 각 금융기관이 신용정보 활용 동의서에 ‘영업 목적의 활용’까지 추가하게 되는 엉뚱한 결과를 가져왔다. 금융법이 소비자 권리를 보호하는 쪽이 아니라 금융업자들이 좀더 편하고 쉽게 영업할 수 있는 방향으로만 변해가는, 씁쓸한 모습이었다.

지금 펼쳐지는 금융정보 유출 범람 사태 역시 이렇게 편하게 정보를 집적하고 이익을 위해 쉽게 공유해도 된다는 생각이 빚어낸 참사인 것이다. 개인정보보호법이 제정돼 상당한 제한이 가해지기는 했지만, 여전히 ‘신용사회 구축’을 통해 금융거래를 활성화한다는 명목으로 신용정보에 대해서는 특별한 예외를 인정하는 편이라니 더더욱 걱정이다.

김진 변호사·법무법인 지향