금융권 개인정보 보호 '허술'…4년간 고객정보 1억822만건 유출

기사등록 2016/08/21 06:30:00 최종수정 2016/12/28 17:32:08
2012년 이후 금융권 정보유출 사고 11건 발생
이로 인해 줄줄 샌 고객 정보 1억822만건 넘어

【서울=뉴시스】김지은 기자 = 금융기관의 고객신용정보 보호 및 내부업무 통제가 여전히 허술한 것으로 나타났다.

 개인정보 보호에 대한 의식이 안일해 체계적인 점검과 강력한 제재가 필요하다는 지적이 나온다.

 21일 금융감독원 연차보고서에 따르면 지난해 금융기관 지적건수는 총 3313건으로 이 중 신용정보 보호 등이 포함된 IT 분야가 813건으로 24.5%를 차지했다.

 2011년 개인정보 보호를 강화하기 위해 개인정보보호법이 제정됐지만 개인정보 유출 사고도 끊이질 않고 있다.

 2012년 이후 확인된 금융권 개인정보유출 사고는 11건으로 유출된 고객 정보는 1억822만2645건에 달했다.

 IBK캐피탈과 메리츠화재는 2번이나 고객 정보를 누설했고 한국SC은행. KG이니시스, 농협은행, 한국씨티은행, 롯데카드, KB국민카드. KDB생명 등도 정보보호에 허점을 드러냈다.

 11건 중 1건은  해킹 사고였고 나머지 10건은 내부 직원이나 외부 용역직원이 신용정보를 업무 목적 외로 유출한 사례였다.

 사상 최대의 개인정보 유출 사건으로 기록된 이른바 '카드3사 정보 유출사건'이 대표적이다. 유출된 고객 정보는 농협 2259만건, 국민카드 5378만건, 롯데카드 2689만건 등 총 1억건이 넘었다.

 검찰은 2014년 1월 NH농협은행과 KB국민카드, 롯데카드가 계약을 맺은 신용정보회사의 직원이 카드사 고객들의 이름과 주민·휴대전화·신용카드 번호, 카드 한도·이용액 등 개인정보를 유출했다고 발표했다.

 당시 해당 직원은 이들 회사로부터 아무런 관리·감독도 받지 않고 이동식저장장치(USB) 등을 이용해 수시로 개인정보를 빼낸 것으로 조사됐다.

 조사 결과 이들 3사는 고객 개인정보 보호를 위해 각종 지침과 준칙을 세웠지만, 실제론 고유식별정보를 암호화하지 않거나 보유 기간이 지난 개인정보를 파기하지 않는 등 고객정보 처리를 소홀히 했다.

 지난해 2월 메리츠화재의 전화통화 녹취 파일 유출 사태를 마지막으로 최근 1년 동안 금융권에서 발생한 정보 유출 사고는 없었다. 하지만 개인정보의 기술적·관리적 보호조치가 미흡한 사례는 다수 적발됐다.

 삼성화재는 종합감사에서 '개인신용정보 보안 대책 불철저' 사유로 기관주의 및 과태료 처분을 받았다.

 보험사는 신용정보 조회 목적과 용도 등의 기록을 관리해야 하는데 삼성화재는 신용정보전산시스템을 운영하면서 계약자의 정보를 조회할 때 목적과 용도를 구분하지 않은 것으로 조사됐다.

 이런 탓에 회사의 모든 임직원이 계약자의 보험계약 증권번호를 입력하면 계약자명, 생년월일, 보험료 및 보장내역 등을 조회할 수 있게 했다.

 웰컴 축은행은 데이터 변환 솔루션을 도입하기 위해 개발용 데이터베이스로 데이터를 운용하면서 주민등록번호 등 이용자 정보를 변환하지 않은 상태로 보관하다 적발됐다.

 금감원이 400여개 금융회사를 대상으로 진행 중인 개인신용정보 보호의무 이행실태 점검에서도 수십여곳이 신용정보보호법을 위반한 것으로 알려졌다.

 12개의 점검 항목 중 본인 신용정보 이용현황 확인시스템 구축과 위수탁간 개인신용정보의 암호화 전송, 개인신용정보의 삭제요구에 대한 처리절차 마련, 상거래관계 종료 고객의 개인신용정보를 최장 5년 이내 파기 또는 분리보관 등의 이행률이 상대적으로 저조했다.

 금감원 관계자는 "조회를 차단하는 등 단순절차 마련 및 시스템 설정 변경 등으로 이행이 가능한 항목은 이행률이 높으나 파기와 같이 시스템에 영향도가 높거나 기준이 명확하지 않은 경우 이행률이 낮았다"고 말했다.

 금융소비자연맹 이기욱 사무처장은 "카드3사 정보유출 등 큰 사건이 터진 후에 땜질식으로 처방하다보니 개인정보 보호 시스템이 체계적으로 관리되지 못하고 있다"며 "시정조치나 1000만원 안팎의 과태료 처분에 그치는 솜방망이 처벌도 문제다"고 말했다.

 이어 "개인정보 동의과정이 소비자의 개인정보 보호보다는 기업의 영업활동을 위한 형식적 절차에 그쳐 정보주체의 실질적 동의권 및 거부권이 보장되지 않고 있다"며 "소비자의 개인정보가 어떤 식으로 이용되는지 알기 쉽고 자세하게 안내할 필요가 있다"고 강조했다.

 kje1321@newsis.com