앞으로 금융거래 고객은 본인 정보의 이용·제공 현황을 언제든지 확인할 수 있고, 필요시 정보 제공 동의를 철회할 수 있다. 금융회사가 수집하는 고객 정보 종류는 대폭 줄어든다. 또 금융지주는 계열사 정보를 고객 동의 없이 외부 영업에 이용할 수 없게 된다.
금융위원회는 10일 정부서울청사에서 기획재정부·미래창조과학부·안전행정부·방송통신위원회·금융감독원 등과 이 같은 내용의 관계부처 합동 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표했다.
◇금융고객 권리 ‘확대’=정부는 그동안 금융회사가 영업에 불필요한 정보까지 수집하고 관리에 소홀했던 문제를 해결한다는 목표다. 이를 위해 30∼50여개의 수집정보 항목을 필수정보 6~10개 등으로 최소화 했다. 금융지주 내 계열사 정보를 고객 동의 없이 외부영업에 이용하는 것을 제한하고, 계열사간 정보 제공시 이용기간을 최소한으로 설정했다. 거래 종료 후에는 식별·거래정보 등 일정기간 보관이 필요한 정보를 제외한 신상정보 등은 즉시(3개월 이내) 파기하도록 했다.
주민번호가 과다 노출되고 불법활용·유출 위험이 높아지는 문제를 해결하기 위해 최초 거래시에만 주민번호를 수집할 수 있도록 했다. 수집한 주민번호는 암호화 해 안전하게 보관해야 한다. 금융회사가 최소 정보만 수집하고 고객은 정보 제공 내용을 명확히 인지할 수 있도록 동의서 양식을 개편할 방침이다. 또 비대면 영업 행위를 엄격하게 제한한다.
고객이 본인 정보의 이용·제공 현황을 언제든지 확인할 수 있도록 금융회사별 조회시스템을 구축하도록 했다. 고객이 원하는 경우 기존 정보 제공 동의를 철회할 수 있다. 명의도용 피해 방지 등을 위해 고객이 요청하는 경우 대출, 카드발급 등을 위한 신용조회를 일정기간 중지 할 수 있다.
◇금융회사 책임은 ‘강화’=정부는 금융회사 CEO의 책임을 강화한다. 정보보호 현황과 정책을 매년 작성해 CEO와 이사회가 직접 보고 받아야 하며 감독 당국에도 제출해야 한다. 신용정보 관리·보호인을 임원으로 두도록 하고 권한을 강화했다. 일정규모 이상 금융회사의 정보보호최고책임자(CISO)는 다른 정보기술(IT) 관련 직위와 겸직을 제한한다.
금융회사가 모집인에 정보를 제공할 경우 최소한의 정보만 암호화 해 제공해야 한다. 또 ‘정보활용·파기 관리대장’을 작성해 주기적으로 점검해야 한다. 불법 정보 활용시에는 관련 매출액의 일정 비율을 부과하도록 하는 등 사후 제재도 대폭 강화한다. 형벌을 금융관련법 최고 수준(10년이하 징역 등)으로 상향한다. 영업정지 등 기타 제재도 크게 강화한다.
◇금융보안 전담기구 설치=정부는 금융전산 보안관제 범위를 은행·증권에서 보험·카드까지 확대하고 ‘금융보안 전담기구’ 설치를 추진한다. 내년 출범이 목표다. 객관적인 평가기관이 금융회사의 전산보안 수준을 평가·공개하는 ‘금융전산 보안인증제’를 도입·확대한다. 금융회사 IT 사업에 대한 금감원의 보안성 심의도 확대한다.
CISO 책임하에 매월 보안점검을 실시하고, CEO에게 점검결과를 보고하는 한편 금감원에 자료를 제출하도록 했다. 보안성이 낮은 마그네틱 신용카드를 IC카드로 교체하고, 가맹점 단말기도 정보 암호화가 가능한 IC단말기로 전환한다.
이밖에 금융회사가 보유하고 있거나 제3자 등에 제공된 개인정보의 적법성을 철저히 점검할 방침이다. 정보유출 사고 발생시 신속한 대응을 위해 금융회사별로 CEO 책임하에 대응매뉴얼을 마련하도록 했다.
현오석 경제부총리 겸 기획재정부 장관은 이날 “그동안 금융회사들이 고객 개인정보를 과도하게 수집한 반면 수집한 정보를 허술하게 관리했다”며 “개인정보보호 강화는 ‘경제혁신 3개년 계획’의 3대 핵심전략 중 첫 번째인 ‘기초가 튼튼한 경제’를 구현하기 위한 중요한 실천과제”라고 말했다.
길재식기자 osolgil@etnews.com, 유선일기자 ysi@etnews.com
