현오석 부총리 겸 기획재정부 장관을 비롯한 관계부처 관계자들이 10일 오전 서울정부청사에서 '금융분야 개인정보 유출 재발방지 종합대책'을 발표하고 있다. (사진=송은석 기자)
10일 정부가 발표한 금융사 고객정보 유출 방지대책은 지난 1월에 발표한 대책보다 구체화됐지만 일부분에서는 오히려 뒷걸음쳤다.
이번 대책은 고객정보의 수집·활용·관리·폐기 등 정보의 순환주기별로 금융사 등이 해야할 일을 구체화했다. 또한 이 과정에서 고객이 자신의 정보가 어떻게 유통활용되고 있는지를 확인할 수 있도록 '정보의 자기결정권'을 높였다.
이와 함께 그동안 금융당국 관리의 사각지대로 남아있던 밴(VAN, 부가가치통신망 사업자)사와 제3의 제휴사 등을 직간접적인 관리의 테두리 안으로 끌어들였다.
하지만 과거 발표했던 대책에서 오히려 후퇴하거나 실효성이 의심되는 부분도 적지 않아 논란이 예상된다.
우선 불법 고객정보를 활용한 모집인에 대한 규제가 약화됐다. 지난 1월 대책에서는 '불법으로 정보거래를 한 대출 모집인에 대해서는 재등록을 금지하고 보험설계사와 카드 모집인 등은 퇴출시키겠다'며 '원 스트라이크 아웃'제도 도입방침을 밝혔다. 고객정보를 유출하거나 불법활용하는 모집인은 한번이라도 적발되면 사실상 영구퇴출시키겠다는 내용이었다.
하지만 이번 대책에서는 '재등록을 5년간 제한'하는 것으로 변경돼 사실상 5년이 지나면 다시 활동할 수 있도록 길을 열어주었다.
이와 관련해 금융위원회 관계자는 "재등록을 전면금지하는 것은 직업선택의 자유에 반한다는 지적이 있었다"며 "이에 따라 재등록 5년간 제한으로 바꿨지만 사실상 5년간 재등록을 금지하면 다시 종사하기는 힘들어 영구퇴출의 효과가 있다"고 주장했다.
또 다른 문제점은 정부 당국이 모집인에 대한 불신을 갖고 있으면서도 정작 고객정보는 모집인에게 맡겼다는 점이다.
이번 대책은 모집인으로 하여금 금융사로부터 암호화된 고객정보를 받아 계약을 체결한 뒤에는 관련정보를 즉시 파기하도록 하고 금융사는 이를 주기적으로 점검하도록 했다. 하지만 정부가 불법개인정보의 '수요처'로 파악하고 있는 모집인에게 고객정보 파기권한을 준다는 것은 앞뒤가 맞지 않는다는 지적과 함께 금융사가 이를 실질적으로 확인하는 것도 쉽지 않아 실효성이 떨어진다는 지적도 받고 있다.
금융위는 "모집인은 금융사로부터 고객정보를 받아 정당한 영업행위를 하기도 한다"며 "이들에게 고객정보 파기 의무를 부여하고 이를 금융사가 확인하도록 했다. 만약 금융사가 이런 의무를 게을리할 경우 엄중 제재하는게 이번 대책의 취지"라고 설명했다. 하지만 모집인에게 고객정보 파기 의무를 부과하지 않고 금융사가 고객정보 활용과정을 통제하고 개인정보를 책임있게 회수해 파기한다면 좀 더 효율적인 규제가 이뤄질 수 있다는 반론도 만만치 않다.
또한 이번 대책에서는 고객정보 수집관리·활용과 관련된 수많은 절차와 형식들이 만들어졌지만 과연 고객정보를 실질적으로 보호할 수 있을지 의문도 제기되고 있다. 예를 들면 금융사로부터 고객정보를 제공받은 제3자가 이용기간이 지났을 경우 정보를 파기하고 '파기확인서'를 금융사에 제출하도록 한 점은 '실제 파기 여부'를 확인하지 못한다는 점에서 실효성이 떨어질 수 있다는 지적이다. 또한 금융사가 신용정보 관리·보호·내부통제 현황과 정보보호 대책을 담은 '연차 보고서'를 작성해 매년 금융당국에 보고하도록 한 것이나 정보유출시 '대응 메뉴얼' 마련을 의무화하고 금융사 '보안점검의 날'을 지정하도록 한 것도 '책상머리 행정'이라는 비판이 나오고 있다.