[매일일보 배나은 기자] 외환은행이 고객 개인정보 암호화 조치 의무와 단말기 승인 의무 규정 등을 위반해 온 것으로 드러났다.또 본점 지점장 등에 과도한 개인정보 조회 권한을 부여하거나 보험사 등 제휴사에 과다하게 고객정보를 제공한 사실도 적발됐다.이에 금융감독원은 외환은행에 대한 부문 검사 결과 이 같은 사실을 확인하고 지난 20일 개선 및 경영유의 조치를 내렸다고 22일 밝혔다.금융감독원에 따르면 외환은행은 2010년 4월 26일부터 검사일인 지난해 2월 20일까지 내부통신망과 분리된 내부통신망과 외부통신망 사이의 독립된 통신망 내 서버(DMZ구간)에 고객의 영문명, 카드번호 등 고객정보를 평문으로 저장하고 있었던 것으로 드러났다.전자금융거래법 제21조 및 전자금융감독규정 제17조에 의하면 금융회사는 DMZ구간 내에 이용자 정보 등 주요 정보를 저장 및 관리할 수 없도록 되어 있으나 이를 위반한 것이다.외환은행은 또 일부 비밀번호의 경우 일방향 암호화 방법이 아닌 암호알고리즘을 이용하여 고객의 비밀번호를 저장해 왔다.현행 신용정보의 이용 및 보호에 관한 법률 제19조 제1항 및 신용정보업감독규정 제20조에 의하면 신용정보회사등은 패스워드, 생체정보 등 본인임을 인증하는 정보에 대해 일방향 암호화해 저장해야 한다고 규정하고 있다.또 각 직원이 고객의 개인정보를 단말기에 보관할 경우 의무적으로 승인절차를 거치도록 통제할 수 있는 시스템을 갖추지 않고, 개인신용정보 오ㆍ남용에 대한 구체적인 제재기준 역시 내규에 반영하지 않아 직원들이 임의로 고객 정보를 보관할 가능성을 열어두기도 했다.개인정보처리 위탁업체 선정 과정에서도 문제가 드러났다.금감원은 외환은행이 내규로 ‘개인정보 보호지침’을 마련해 놓고도 수탁업체 선정 과정에서 이를 제대로 적용하지 않아 개인정보보호 능력이 부족한 업체를 선별해 낼 자정능력이 부족했던 것으로 판단하고 업체 선정절차 강화를 요구했다.외환은행은 이렇게 선정된 업체가 개인정보를 제대로 파기했는지 여부를 점검하는 업무 역시 소홀하게 처리했다.또 본점 부서장의 고객정보 조회 권한 부여의 적정성 여부를 점검하지 않아 과다한 조회권한을 부여했다는 지적을 받는 등 개인정보 조회 권한 부여의 적정성 여부에 대해 점검이 필요하다는 지적도 받았다.보험사 등 제휴업체에 과도한 고객정보를 제공한 사실도 드러났다. 이에 금감원은 제휴목적에 따라 제휴업체의 목적달성을 위해 필요한 최소한의 정보만을 제공하도록 제휴업체별 제공정보를 축소 조정할 것을 요구했다.그 밖에도 외환은행은 직원이 퇴직한 경우에도 기 발급받은 은행 도메인주소(keb.co.kr)가 포함된 e-Mail 계정을 계속 이용할 수 있도록 허용하거나 가맹점설계사에게 위탁해온 신용카드 가맹점 모집 및 가맹점의 영업영위 여부에 대한 실사가 실제로 이뤄지지 않아 왔던 것으로 밝혀졌다.