[출처 헤럴드경제]정부가 22일 오후 발표할 개인정보 유출 방지책이 기존 대책의 재탕, 삼탕에 불과하다는 지적이 나오고 있다. 금융당국이 추진하는 대규모 징벌적 과징금 제도의 신설은 유출 사고가 터질 때마다 나왔다. 이번에 현실화 방침을 재차 밝혔을 뿐이다. 게다가 최고경영자(CEO) 문책 강화 등도 단골메뉴다.
바꿔 말하면 정보유출은 예고된 인재(人災)라는 것이다. 그동안 내놓은 대책들이 제대로 시행만 됐다면, 금융당국의 감시와 금융회사의 보안이 더욱 강화되면서 이번 사태를 막을 수 있었다는 의미다. 그동안 ‘대책의 성찬’에 그쳤다.
▶반복만 되는 대책=대표적인 재탕 대책은 징벌적 과징금 부과다. 신제윤 금융위원장은 최근 “태스크포스(TF)에서 법 개정 등을 통해 징벌적 과징금 제도를 추진하겠다”고 밝혔다. 이 제도는 입증된 손해보다 훨씬 많은 과징금을 물리는 것이다. 최대 50억원으로 상향됐다.
그런데 금융당국이 처음 밝힌 대책이 아니다. 금융당국은 정보유출이 있을 때마다, 저축은행 부실의 근본 원인으로 지목되던 대주주에 대해서도 징벌적 성격의 과징금을 부과한다고 했다. 하지만 그때 뿐이었다.
또 지금 만들어봐야 이번 사태에는 소급 적용이 현실적으로 어렵다.
금융당국은 아울러 CEO 처벌 강화를 거론했다. 김석동 전 금융위원장도 “정보 유출 시 CEO가 책임지도록 하겠다”고 말한 바 있다. 2011년 4월 현대캐피탈 고객정보유출과 농협 전산장애 사고가 잇따라 터진 데 따른 후속대책 성격이었다.
당시 금융당국은 ‘금융회사 IT보안 전반에 대한 종합대책’을 마련하면서 보안과 관련해 CEO의 역할 및 책임 부여와 정보보호최고책임자(CISO) 지정 의무화 등을 통해 책임관리시스템을 구축하고, 사고 시 제재수준을 강화하기로 했다. CEO에게 더 큰 역할을 맡기면서 책임을 지우겠다는 의미다. 하지만 이후 정보유출 사고에 대한 제재수위는 낮았다. 이번에는 CEO 해임 권고 조치까지 내릴 방침이다.
현행 전자금융거래법으로도 법령 위반 시 시정명령, 임직원 문책, 임원해임 또는 직무정지 요구 등이 가능하다. 그러나 감경조항 등에 따라 제재수위를 낮춘 면이 있다.
▶“이미 있었네”, 기존 대책 제대로만 시행됐더라도=이번 사태에서 금융회사 외주용역 직원이 고객정보를 이동저장장치(USB)에 담아 빼돌렸다.
노트북과 USB 등에 대한 반출입 관리 대책은 이미 수립돼 있었다. 금융당국은 2011년 6월 시스템운영실에서 전용단말기만 사용하도록 했다. 노트북과 USB는 반입이 불허됐다. 하지만 이 대책은 무용지물이었다.
아울러 금융당국은 지난해 3월 ‘개인신용정보의 수집ㆍ이용 관행 개선방안’을 발표하면서 금융회사가 개인신용정보의 불법적인 이용 또는 유출을 알게 되면 즉시 통지하도록 의무화했다.
금융당국과 KB국민ㆍNH농협ㆍ롯데카드 3사는 통지는 커녕 검찰의 정보유출 수사 결과 발표 9일 뒤에야 유출 여부를 조회할 수 있게 했다.
지난해 7월 나온 정부의 ‘금융분야 개인정보보호 가이드라인’에는 소비자 보호 대책이 총망라돼 있다. 구체적으로 보면 ▷개인정보 3자 제공 시 구체적인 해당 업체명 기재 ▷분쟁대응과 검사대비 등을 제외하고 개인정보 즉시 파기 ▷선택적 동의 사항의 부동의를 이유로 서비스 제공 금지 등이다.
이날 종합대책의 핵심은 과도한 개인정보 요구 관행 개선과 카드 해지 후 개인정보 삭제, 불법 유출 정보의 마케팅 차단 강화다. 또 금융사가 제휴업체에 무작위로 정보를 제공하는 행위를 막기 위해 고객이 정보제공을 원하는 제휴업체에만 정보 공유가 가능하도록 가입 신청서가 개정되도록 할 계획이다.
소비자 보호대책은 이미 시행되고 있었던 셈이다. 가이드라인만 잘 지켜졌더라도 개인정보 유출을 막을 수 있었다는 지적이 나오는 것은 이같은 이유에서다.
