[매일일보 배나은 기자] 금융감독원은 최근 연이어 발생하고 있는 개인정보 유출 문제의 핵심은 부실한 내부통제와 금융 당국의 관리 감독 미비에 있다고 지적했다.특히 올해 발생한 3개 카드사의 고객정보 유출사고의 경우 농협카드는 전산장비 반입·반출 통제 등의 기본적인 보안 관련 규정을 대부분 지키지 않아 사고를 자초했다는 평가를 받고 있다.롯데카드와 국민카드 역시 USB등의 보조기억매체에 대한 접근통제 규정과 테스트시 개인정보를 사용해서는 안 된다는 규정을 어겼다.감독당국의 책임론도 지적됐다.금융사는 이미 회원가입부터 다양한 경로를 통해 개인정보를 수집해 이를 무분별하게 유통하고 있음에도 감독 당국의 대응은 이 같은 환경의 변화를 따라가지 못했다는 것이다.김용우 금감원 소비자보호총괄국 선임국장은 26일 서울 프레스센터에서 열린 제2회 매일일보 금융 소비자 포럼에서 “그간 금감원은 IT보안과 관련해서는 해킹 등에 의한 정보유출 예방이나 정보보안절차를 점검하는 식의 제도정비에 집중해왔다”며 “때문에 금융회사의 실제 개인정보 관리실태 및 전산 개발 시 법규준수 여부 등 내부운영실태에 대한 현장 점검에는 한계를 나타냈다”고 지적했다.정보유출 사고에 대한 낮은 제재 수준도 이번 정보유출 사태의 원인 중 하나로 꼽혔다.현행 법령에 따르면 금융사가 정보를 유출하거나 불법정보를 활용한다 해도 최고 600만원 수준의 낮은 과태료가 부과된다. 또 임직원에 대해서도 ‘주의’ 수준의 가벼운 제재만이 이뤄질 뿐이다.김 국장은 “정보가 유출되거나 불법정보를 활용한 금융사에 대해서는 충분한 금전적, 형사적 제재가 필요하다”며 “징벌적 과징금과 형벌수준, 영업정지 등 기타 제재를 크게 강화하겠다”고 강조했다.추가적인 개인정보 유출 방지 대안과 이미 유출된 개인정보에 대한 피해 차단책도 언급됐다.우선 금융사에 대해서는 지금까지의 무분별한 개인정보 수집관행에필수정보를 중심으로 최소한의 정보를 수집하되, 보유한 정보에 대해서는 이용기간을 필요최소한으로 설정하는 방안이 제시됐다.또 제3자에 정보 제공시에는 포괄적 동의를 금지하고, 정보이용 목적과 제공업체, 제공기간, 파기계획 등을 구체적으로 적시하도록 할 방침이다.거래종료 후에는 일정기간 보관이 필요한 식별 및 거래정보를 제외하고 여타 신상정보는 3개월 이내 즉시 파기토록 할 예정이다.이미 유출된 정보로 인한 잠재적 피해 가능성을 차단하기 위해서는 카드 교체등을 신속히 할 수 있도록 지원하고, 금융사별 CEO책임 사고 대응매뉴얼을 작성해 보고토록 할 방침이다.

김 국장은 “금웅사가 개인정보 관리 문제와 관련해서는 확실하게 책임지는 구조를 확립해야 한다”며 “정보보호 현황 및 정책에 대한 보고 및 제출 정책을 강화하고, 모집인 및 제3자에 제공한 정보가 유출될 경우에도 금융사에 책임을 묻겠다”고 말했다.

또 “신용정보 주체의 권리를 강화하기 위해 두낫콜(Do not call)서비스나 정보보호 요청권 등 자기정보결정권을 행사할 수 있는 각종 제도를 활성화시키겠다”고 덧붙였다.