정부가 10일 카드사 정보유출, 해킹사고 등에서 드러난 문제점에 대한 재발방지 방안을 담은 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표했다.
이날 오전 서울 세종로 정부서울청사에서 열린 발표 자리엔 현오석 경제부총리 겸 기획재정부 장관, 최문기 미래창조과학부 장관, 신제윤 금융위원장, 박경국 안전행정부 제1차관, 김대희 방송통신위원회 상임위원, 최수현 금융감독원장 등이 참석했다.
이번 종합대책은 △금융소비자 권리 보호 및 금융회사 책임 대폭 강화 △금융회사가 확실하게 책임지는 구조 확립 △해킹 등 외부로부터의 전자적 침해행위에 대한 대책 보강 △외부유출된 정보로 인한 잠재적 피해 발생 가능성 대응방안 등을 기본 방향으로 한다.
◇ 금융사 고객정보 관리 개선
먼저 수집-보유‧활용-파기 단계별 정보보호가 강화된다.
현재 금융회사들은 30~50여 개에 이르는 개인정보를 수집하고 있지만, 앞으로는 공통 필수항목(이름, 주민번호, 주소, 연락처, 직업, 국적)과 상품 성격상 필요한 정보 등 필요 최소한도의 개인정보만 수집하게 된다.
또 금융지주 내 계열사 정보를 고객 동의 없이 외부 영업에 이용하는 것을 제한하는 한편, 계열사 간 정보 제공 시 이용기간을 필요 최소한도로 설정해야 한다. 제 3자에 정보를 제공할 때에는 필수적/선택적 제3자를 구분해 동의를 받도록 하고, 정보이용 목적과 제공업체, 제공기간, 파기계획 등을 구체적으로 적시해야 한다.
거래가 종료된 후에는 식별‧거래정보 등 일정기간 보관이 필요한 정보를 제외한 정보를 3개월 이내 파기해야 한다.
또 최초 거래시에만 주민번호를 수집하고 이후에는 주민번호 수집 없이 여타 정보 활용 등을 통해 신원확인을 하게 된다. 수집 주민번호는 필수적으로 암호화 한 후 보관해야 하며, 불법활용 및 유출이 발생할 시엔 일반 개인정보보다 가중해 제재할 예정이다. 이는 금융거래 시 주민번호 노출을 최소화하고, 유출 위험이 증가하는 문제를 개선하기 위한 방침이다.
또 비대면 영업행위가 엄격하게 제한된다.
앞으로 무차별 문자메시지 전송을 통한 영업행위는 전면 금지되며, 전화와 이메일 등 여타 비대면 영업행위는 엄격한 정보활용 기준에 따라 제한적인 범위내에서만 허용된다.
아울러 금융 소비자들에 △정보 이용현황 조회권 △정보제공 철회권 △연락중지 청구권 △정보보호 요청권 △신용조회 중지 요청권 등을 부여해 자기정보결정권을 확실히 보장할 방침이다.
◇ CEO‧금융사 책임 강화
앞으로 △CEO △금융회사 등에 대한 책임이 강화된다.
금융회사는 앞으로 정보보호 현황 및 정책을 매년 작성해 CEO 및 이사회에게 보고해야 하고, 감독당국에도 제출해야 한다. 더불어 신용정보 관리‧보호원을 임원으로 두고 권한 역시 강화한다. 또 일정 규모 이상 금융회사의 정보보호최고책임자는 타 IT관련 직위와 겸직이 제한된다.
모집인, 계열사‧협력사 등 제 3자에게 정보를 제공할 시의 책임 역시 강화된다.
금융회사가 모집인에 정보를 제공할 때에는 최소한의 정보만을 암호화 해 제공해야 한다. 또 정보활용‧파기 관리대장‘을 작성, 주기적으로 점검해야 한다. 금융회사 소속 대출모집인이 체결한 계약을 승인할 경우에는 모집경로를 확인해 적법한 정보를 활용했는지 여부를 확인해야 한다. 또 제3자 및 계열사에 정보를 제공한 경우 이용기간이 경과한 정보의 파기여부를 확인하고 관리실태를 CEO 등에 주기적으로 보고해야 한다.
앞으로 금융회사가 보안대책 미비 등으로 사고가 발생할 경우, 과태료가 현행 최대 600만 원에서 최대 5000만 원 한도로 크게 늘어난다. 영업정지 기간도 3개월에서 6개월까지로 상향 조정된다.
또 불법정보를 활용 시엔 관련 매출액의 일정비율을 과징금으로 부과하고, 정보 유출시에도 최대 50억 원의 징벌적 과징금이 부과된다. 형벌 수준 역시 금융관련법 최고 수준인 10년 이하 징역으로 상향된다.
△ 전자적 침해 대응 강화
앞으로 금융회사 전산망에 대해 해킹 등 전자적 침해 여부를 모니터링 하는 ‘금융전산 보완관제’ 범위를 현행 은행‧증권에서 보험‧카드까지 확대해야 한다. 또 내‧외부망 분리, 주민번호 암호화도 차질없이 추진해야 한다.
한국인터넷진흥원, 금융보안 전담기구 등 객관적인 평가관이 금융회사의 전산보안 수준을 평가해 공개하는 ‘금융전산 보안인증제’도 도입된다.
이번 카드사 정보유출이 외주업체 직원에 의해 발생한 것을 감안해 금융사 외주용역의 ‘입찰→계약→수행→완료’등 전 단계에 걸쳐 관리 기준을 마련해야 한다.
여기에 더해 불시점검, 기획검사 등을 통해 보안규정 실천 여부를 점검할 방침이다.
또 신용카드 결제정보의 정보유출 위험을 제거하기 위해 IC카드로의 교체를 적극 유도할 방침이다. 이를 위해 우선 IC결제 우선 승인제를 실시하고, 2016년부터는 전 가맹점에서 IC결제 사용을 의무화 할 계획이다.
아울러 금융회사가 보유하고 있거나 제 3자 등에 제공된 개인정보의 경우 계약유지, 법률상 의무이행 등에 꼭 필요한 정보 외에는 14년 중으로 일괄 파기해야 한다. 또 정뷰우출 사고 발생 시 신속한 대응을 위해 금융사별로 CEO책임 하에 대응 매뉴얼을 마련해야 한다.
한편, 현오석 부총리는 이날 브리핑에서 "정부는 카드사 개인정보유출 사고를 과거처럼 일회성 사고로 흘려버리는 우(愚)를 범하지 않고, 유사한 사건이 결코 재발하지 않도록 방지하기 위해 이번에 마련된 대책이 현장에서 제대로 집행되고 착근(着根)될 수 있게 철저히 점검하겠다"고 말했다.
