감사원은 지난 3월 12일부터 3월 11일까지 한 달간 금융당국에서 수행한 금융회사의 개인정보 관리·감독 실태를 점검한 결과 금융권의 근무 태만이 원인이었다고 28일 밝혔다.
이 같은 실태 점검은 올 1~2월 경실련 등 시민단체가 카드3사의 개인정보 유출 사고와 관련해 금융당국의 부실한 관리·감독에 대한 책임규명을 위해 공익감사를 청구함에 따라 이뤄졌다.
감사원은 금융 관련 법령의 제·개정 업무와 금융회사의 개인정보 보호업무를 수행하고 있는 금융위원회가 ‘금융지주회사법’ 48조 2항에 따라 개인정보를 개인의 사전 동의 없이 금융지주회사 및 자회사들 간에 영업상 이용 목적으로 제공할 수 있도록 규정하고 있어 ‘개인정보 보호법’상 개인정보 보호 취지에 미흡한 실정임에도 불구하고 카드3사의 개인정보 유출사고 발생 후에야 뒤늦게 개선·정비했다고 밝혔다.
감사원은 금융위가 2012년 4월부터 11월까지 62개 금융권을 대상으로 ‘금융권 개인정보 수집·이용실태 종합점검’을 실시해 금융회사들이 해당 거래와 직접 관계없는 개인정보를 필수적으로 요구하거나 개인정보 수집 목적을 불명확하게 표시하는 등의 문제점을 파악하고도 금융회사가 자율적으로 개선토록 한 채 지도·감독을 소홀히 했다고 지적했다.
이 때문에 금융회사들은 여전히 개인정보를 과도하게 수집하거나 거래관계가 종료된 후에도 파기나 별도 보관하지 않고 일반회원정보와 함께 보관하다가2649만여 건의 개인정보가 유출되는 사고가 발생했다고 설명했다.
아울러 금융감독원도 금융기관에 대한 종합검사 업무를 수행하면서 개인정보 보호의 적정성 등을 중점 검사사항으로 보고서도 인력·기간 부족 등의 사유로 종합검사 기간 중에 개인정보 보호를 위해 필요한 부분에 대한 검사를 하지 않거나 태만히 해, 4개 금융회사에서 개인정보 4569만여 건의 유출사고를 예방할 수 있는 기회를 잃었다고 밝혔다.
‘신용정보법’ 32조 6항에는 금융회사에 영업양도·분할·합병 등을 이유로 개인정보를 타인에게 제공하려면 그 범위 등에 대해 금융위의 승인을 받도록 규정하고 있다.
2009년 10월부터 2014년 4월까지 영업양도 등을 이유로 다른 금융회사에 개인정보를 제공한 금융회사는 총 61개이고, 그중 금융지주회사법을 적용받는 5개 회사를 제외하면 금융위 승인을 받아야 하는 회사는 56개다.
하지만 금융위와 금감원은 금융회사의 영업양도 등에 대한 인·허가를 하면서도 개인정보제공 승인을 받도록 안내하지도 않았고, 인·허가 후에도 승인 신청하도록 지도·감독하지 않고 있어 56개 회사 중 49개 회사가 승인을 받지 않고 있었으며, 금융위와 금감원은 이런 사실을 알지 못하는 실정이었다고 덧붙였다.
감사원은 금융위원장에게 금융회사에 대한 개인정보 보호 검사 업무를 태만히 한 직원 2명에 대한 문책을 요구했다.
아울러 지난해 12월 국민카드와 롯데카드를 상대로 개인정보 관리 실태를 점검하면서 각 카드사가 보유기간이 지난 개인정보를 보유하는 등 위법 사실을 발견하지 못한 안전행정부에 대해 업무를 철저히 할 것과 함께 롯데카드 등에 대해 과태료를 부과토록 통보했다. [시시포커스 / 전수영 기자]
