[이혜경기자] 앞으로 주민등록번호는 최초 거래시에만 수집하고 암호화해 보관된다. 금융회사가 수집한 개인정보 보관기간은 5년으로 단축된다. 문자메시지를 통한 영업은 전면 금지된다. 금융상품·서비스 가입시 선택사항에 동의하지 않더라도 금융회사는 서비스 제공을 거부하지 못한다.
정부는 10일 이 같은 내용을 담은 '금융분야 개인정보 유출 재발방지 종합대책'을 발표했다.
신제윤 금융위원장은 "이번 대책은 금융거래의 편의성과 효율성 관점이 아닌 금융소비자 관점에서 고객보호와 권리보장 강화에 최우선을 뒀고, 부분·단편적 개선이 아닌 전면·종합적인 개선에 중점을 뒀다"고 설명했다.
정부는 우선 금융회사의 정보수집을 최소화하기로 했다. 현재 30~50여 개에 이르는 수집정보 항목은 필수정보 6~10개로 확 줄인다. 금융지주 내 계열사 정보는 고객 독의 없이 외부 영업에 이용하지 못하고, 계열사간 정보 제공시에는 이용기간을 최소한 필요한 기간만으로 설정해야 한다. 제3자 정보제공시 포괄적 동의도 금지된다.
거래 종료 후에는 식별-거래정보 등 일정기관 보관이 필요한 정보 외에는 즉시(3개월이내) 파기해야 한다. 보관기간은 5년으로 단축했다. 정보유출 및 불필요한 사용을 예방하고, 유출시 피해를 최소화하기 위한 것이다.
◆수집한 주민번호, 암호화해 보관
주민등록번호는 최초 거래시에만 수집하되, 번호 노출이 최소화되는 방식으로 수집하도록 했다. 키패드를 통해 입력하는 식이다. 또 이렇게 수집한 후에는 암호화해 보관해야 한다.
아울러, 정보 제공 등의 동의서 양식은 중요 사항이 잘 보이도록 글씨를 크게 하고, 필수사항과 선택사항도 구분해 기재된다. 이어 선택사항 미동의시 서비스 제공을 거부할 수 없도록 했다.
비대면 영업행위도 제한된다. 무차별적 문자메시지 전송을 통한 영업은 전면 금지된다. 전화, 이메일 등을 활용한 영업은 소속회사, 목적, 정보획득경로 등을 미리 안내하는 등 기준을 따르는 경우에만 제한적으로 허용된다.
또한 금융회사의 개인정보 이용·제공 현황을 조회하고, 영업목적 전화에 대한 수신 거부 등록 등을 위한 시스템도 구축된다. 개인의 '자기정보결정권'이 실질적으로 이뤄지도록 하겠다는 것이다.
임원 등의 정보보호·보안관련 책임, 그리고 불법정보 활용·유출과 관련한 금전적·물리적 제재도 대폭 강화한다. 정보보호 현황과 정책은 매년 작성해 CEO 및 이사회가 직접 보고받고, 감독당국에도 제출해야 한다. 임원으로 신용정보 관리·보호인을 둬야 하며 권한도 강화하도록 했다.
또 정보보호최고책임자(CISO)가 정보 효율성을 강조하는 업무 담당시 발생하는 이해상충 방지를 위해 일정규모 이상 금융회사의 CISO는 타 IT 관련 직위와 겸직이 제한된다. 정보보호와 관련해서는 금융회사가 확실하게 책임지는 구조를 확립해 불법정보 활용·정보유출을 근절하겠다는 구상이다.
◆금융전산 보안전담기구 설치
금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제도 강화한다. 카드결제 정보가 안전하게 처리되도록 단말기도 IC카드용으로 전면 교체한다. 밴(VAN)사 등록제도 도입한다. 이를 통해 해킹에 철저히 대응하고, 카드결제과정에서의 정보보호도 한층 강화하겠다는 설명이다.
금융회사가 보유 또는 제공한 정보도 불필요한 것은 즉시 삭제하고, 정보유출시 대응 매뉴얼(Contingency Plan) 마련 및 비상 대응체계도 구축토록 할 방침이다. 기존 정보로 인한 잠재적 피해 가능성을 차단하고, 신속하고 세밀한 대응을 통해 피해의 최소화 및 확산을 억제하겠다는 계획이다.
한편, 금융사고 발생시 사후 제재도 대폭 강화된다. 불법정보 활용시 징벌적 과징금을 관련 매출액의 일정비율(예: 3%)만큼 부과하기로 했다. 금액은 무제한이다. 정보유출시에도 다른 법률보다 높은 한도로 부과할 방침이다.
영업정지 등 기타 제재도 강화한다. 신용정보회사는 불법정보 유출 관련시 영업정지(6개월 이내) 또는 이에 갈음하는 과징금을 부과하고, 3년내 재위반시 허가가 취소된다. 금융회사가 보안대책 미비 등 주의의무를 다하지 않은 경우의 과태료도 기존 600만원에서 5천만원으로 높였다.
또 금융회사의 영업정지 등 기관제재도 강화했다. 카드사 영업정지는 기존 3개월에서 6개월로 늘렸다. 특히 상시점검 미흡으로 사고인지를 못했거나, 사고 발생을 고의적으로 숨긴 경우 가중처벌된다.
◆금융전산 보안관제, 보험·카드까지 확대
해킹 등에 대해서도 강력 대응키로 했다. 작년 7월에 발표한 금융전산 보안강화 종합대책 외에도 추가 대책을 더할 방침이다. 금융회사 내·외부망 분리 외에도 주민번호 암호화를 조기에 추진할 방침이다. 금융전산 보안관제 범위를 기존 은행·증권에서 보험·카드까지 확대하고, 금융보안 전담기구 설치도 2015년 출범을 목표로 추진한다.
객관적인 평가기관이 금융회사의 전산보안 수준을 평가·공개하는 '금융전산 보안인증제'를 도입·확대하고, 금융회사 IT사업에 대한 금감원의 보안성 심의도 확대 실시할 계획이다.
정부는 법 개정이 필요하지 않은 불필요한 정보 삭제, 고객정보 보호를 위한 시스템 구축 등은 최대한 조속히 시행할 예정이다. 신용정보법·전자금융거래법 등 법률 개정안(국회 계류중)은 적극적으로 국회를 설득해 상반기 중 국회 통과를 추진하겠다는 각오다.
더불어 '고객정보 보호 정상화 T/F'를 통해 금번 대책의 이행상황을 지속적으로 점검하기로 했다.
이혜경기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기