정보보관 5년 이상 금지, 정보제공 동의서 전면 개정

 

정보제공 철회권·금융전산 보안인증제 도입

 

(서울=연합뉴스) 심재훈 김태종 홍정규 기자 = 올해 하반기부터 금융사들은 고객과 처음 거래할 때를 제외하고는 주민등록번호를 요구할 수 없으며 거래 종료 후 5년 이상 거래정보를 보관해서는 안 된다.

불법 유출된 정보를 이용한 금융사들에 대한 징벌적 과징금은 관련 매출의 3%까지 상향 조정됨에 따라 그 액수가 수천억원에 이를 수도 있다.

금융사들은 고객이 정보 제공 선택사항에 동의하지 않는다고 해서 서비스 제공을 거부할 수 없게 된다.

정보 제공 철회권, 신용조회 중치 요청권 등 고객 권리가 보장된다.

기획재정부와 금융위원회, 안전행정부, 미래창조과학부, 방송통신위원회, 금융감독원은 10일 오전 정부서울청사에서 이런 내용의 금융 분야 개인정보 유출 재발방지 종합 대책을 발표했다.

최근 1억여건의 카드사 고객 정보 유출 등에 따른 후속 조치로, 반복적인 정보유출·해킹사고를 효과적으로 차단하는데 주안점을 뒀다. 그러나 이번 대책 또한 진전된 내용이 없다는 지적이 나오고 있다.

현오석 경제부총리는 "범정부 태스크포스를 통해 통신·의료·공공부문 등 사회 전반에 걸쳐 개인정보보호 관리실태를 일제 점검하고 이를 바탕으로 보다 근본적이고 포괄적인 '개인정보보호를 위한 재발방지대책'을 올해 상반기 중 내놓겠다"고 밝혔다.

신제윤 금융위원장은 "이번 종합대책은 고객 개인정보의 완벽한 보호가 금융부문의 신뢰성과 안정성을 위한 핵심 자산이라는 인식을 기초로 근본적인 방안을 담는 데 중점을 뒀다"고 말했다.

정부는 금융사가 최초 거래 때에만 주민번호를 수집하되 키패드 입력 방식을 도입해 주민번호 노출을 최소화하기로 했다. 이후 거래는 주민번호 대신 신분증 등을 이용하며 수집한 주민번호는 암호화해 보관한다. 주민번호 불법 활용 및 유출에 대해서는 일반 개인정보에 비해 가중 처벌하기로 했다.

고객 정보 수집은 이름, 주민번호, 주소, 연락처 등 필수 정보 6~10개로 제한하고, 금융지주사 내 계열사 정보를 고객 동의 없이 외부 영업에 이용할 수 없도록 했다. 제3자 정보 제공 시 포괄적 동의를 금지하고 '필수'와 `선택'을 구분해 동의를 받도록 했다.

금융 거래 종료 후 신상정보는 3개월 내 파기하고 모든 보관 정보도 상해보험 후유장애 보장 정보 등 법령상 추가 보관 의무대상을 제외하고는 5년 내에 없애도록 했다.

 

불법 유출된 고객 정보를 이용하면 관련 매출의 1%에 대해 물리기로 했던 징벌적 과징금을 3%까지 늘리기로 했다. 징벌적 과징금은 절대 액수기준의 상한선이 없어 수천억원에 이를 수 있다. 정보 유출 시에도 최대 50억원의 과징금을 부과한다.

정보 유출 관련 형벌은 10년 이하 징역 등 최고 수준으로 강화한다. 신용정보사는 불법 정보 유출에 관련되면 6개월 이내 영업정지 또는 과징금을 내게 되며 3년내 재위반시 허가가 아예 취소된다.

금융사의 보안대책 미비 등이 적발될 경우, 과태료가 기존 600만원에서 5천만원으로, 영업정지는 기존 3개월에서 6개월로 각각 늘어난다.

금융사의 정보제공 동의서 양식도 바뀐다. 필수사항 동의로 계약 체결이 이뤄지도록 하고 선택사항에 동의하지 않는다고 해서 서비스 제공을 거부할 수 없도록 했다. 동의서의 활자 크기도 고객이 쉽게 알아볼 수 있도록 키운다.

무차별적인 문자메시지 전송을 통한 영업 행위가 금지되며 전화나 이메일을 통한 비대면 방식의 모집·권유 행위는 개인정보 습득 경로 등을 안내해야 하는 등 제한된 범위에서만 허용된다.

고객의 권리 확대를 위해 정보 이용 현황 조회권, 정보 제공 철회권, 연락중지 청구권, 정보보호 요청권, 신용조회 중지 요청권이 도입된다.

이에 따라 금융사는 고객이 본인 정보의 이용 현황을 확인할 수 있도록 하고 고객이 수신 거부 의사를 밝히면 영업 목적 연락을 차단하는(Do not call) 시스템을 구축해야 한다. 고객이 원하면 기존 정보 제공 동의를 철회해야 하며 거래 종료 고객이 본인 정보의 보호를 요청하면 금융사가 파기 또는 보안 조치를 해야 한다.

금융사 책임도 강화된다.

금융사 최고경영자(CEO)와 이사회는 정보보호 현황을 보고받고 그 내용을 감독 당국에 제출해야 한다. 신용정보 관리·보호인을 임원으로 둬야 하며 일정 규모 이상 금융사의 정보보호최고책임자(CISO)는 다른 정보통신(IT) 관련 직위와 겸직이 제한된다.

금융사가 모집인에 정보를 제공할 때에는 최소한의 정보만을 암호화해야 한다. 정보를 유출해 활용한 모집인이 적발되면 계약 해지와 함께 5년간 재등록이 제한되며 해당 금융사에 대해서도 과징금 등이 부과된다.

금융사들은 해킹 등을 막기 위해 전산센터 내부·외부망 분리를 올해까지 마무리한다. 금융전산 보안 관제 범위는 은행·증권에서 보험·카드까지 확대하며 금융보안 전담기구는 내년에 출범한다. 금융사의 전산보안 수준을 평가·공개하는 금융전산 보안인증제도 도입된다.

신용카드 결제 시 개인정보 강화를 위해 보안이 강화된 집적회로(IC) 결제단말기를 연내까지 사용하도록 적극 유도할 방침이다. 카드사 가맹점 계약 체결 시 IC 단말기 설치 여부 확인, 'IC 결제 우선 승인제' 도입 등이 추진된다. 결제대행사 밴(VAN)사 등록제도 도입된다.

이날 정부가 내놓은 대책에 대해 전문가들과 소비자들은 미흡하다는 반응을 보였다. 금융사들은 정부의 통제와 처벌이 강화한 데 대해 부담스럽다는 입장이다.

김승주 고려대 정보보호대학원 교수는 "정보 보관 기간을 5년으로 제한하거나 주민등록번호를 내·외부망 암호화하는 등의 예방책은 대부분 과거에 거론된 내용"이라고 평가했다.

한 시중은행 관계자는 "정보유출이 결코 발생해서는 안 되지만 매출액의 3%를 징벌적 과징금으로 매겨질 경우 매출액이 많은 금융회사일수록 부담스럽다"고 말했다.

president21@yna.co.kr taejong75@yna.co.kr

kazi@yna.co.kr

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>2014/03/10 10:21 송고