#지난 1월 KB국민카드 5300만명, 롯데카드 2600만명, NH농협카드 2500만명의 개인정보가 유출되는 초유의 사고가 발생했다. 사회적 파장이 커지자 정부는 부랴부랴 종합대책을 발표했지만, 고객정보 보유기간을 둘러싸고 부처 간 이견이 발생했다. 금융위원회 신용정보법과 방통위 정보통신망법, 안전행정부 개인정보보호법의 근거가 서로 다르고, 정확한 정보 보관기간에 대한 유권해석이 없다보니 이를 명문화하는 데에만 수개월이 소요됐다. 사회적 손실 비용만 5000억원에 달했다.
#수천만 건에 달하는 해킹사고가 발생했지만 판매시점관리(POS)시스템은 흩어져 있는 유관법과 비효율적인 관리에 대표적 사각지대로 꼽힌다. POS사업자와 밴(VAN)사업자, 결제대행(PG)사업자 등이 금융사고를 내더라도 처벌하기 애매한 상황이다. 이들을 관할하는 소관부처는 방송통신위원회로, 통신망 위반 사례에만 집중하니 금융사고에 대한 제대로 된 대책이 나올 리 만무하다. 부랴부랴 금융당국과 방통위는 관리 주체를 둘러싼 논의를 시작했지만, 부처 간 이해관계가 얽히면서 수년째 공회전만 하고 있다.
잇따른 고객정보 유출 사고로 보안 강화가 금융권의 핵심 이슈로 부상했지만, 관련 법률과 소관 기관이 난맥상을 보여 정책 집행에 일관성이 떨어지고 누수현상이 벌어지고 있다. 금융 보안 사고의 경우, 적용 가능한 법률이 17개에 달하고 유관 기관도 38곳에 이르지만 법률 간 상충하거나 기관 간 협업이 되지 않아 후속처리에 골머리를 앓고 있다는 지적이다.
16일 학계와 금융권에 따르면 금융 보안 사고에 적용할 수 있는 개인정보보호 법률은 크게 7가지로 나뉜다.
안전행정부 개인정보법, 금융위원회 금융실명법·신용정보법·전자금융거래법, 공정거래위원회 전자상거래법, 방송통신위원회 정보통신망법, 미래창조과학부 전자거래기본법이다. 금융실명법과 신용정보법 등은 금융 분야에만 특화해 개인정보보호를 규정하는 별도 법령이다.
이처럼 많은 법 체계에 철통 보안이 가능할 것 같지만, 정작 고객정보 유출 사고가 발생하면 상황은 돌변한다. 사고 처리가 어느 부처 소관인지, 어떤 법 체계를 따라야하는지 갑론을박하면서 담당자를 찾는 데에만도 상당 시간이 걸린다.
엔씨소프트(2006년), 국민은행(2007년), LG전자(2008년), GS칼텍스(2008년), 현대캐피탈(2011년), SC·씨티은행(2013년), KB국민카드·롯데카드·NH농협카드(2014년) 등 대표적으로 개인정보 유출 사고에도 앞선 사례같은 혼란은 지속됐다.
대책 마련과 재발 방지가 필수적이었지만 기관별 대응이 제각각이었던 만큼 사후 처리도 일사분란하지 않았다는 평가다.
최철 숙명여대 교수(소비자경제학과)는 “수많은 정보유출 관련 법령들이 개인정보보호에 관한 사항을 규율하고 있다”며 “이 때문에 여러 분야에 걸쳐있는 개인정보보호에 관한 규제가 서로 유기적으로 작용하는데 다소 한계가 있다”고 지적했다.
이 같은 이합집산 형태의 보안 관리 법과 체계는 보안인증 수단의 주민등록번호 제도 변화와 공인인증제, 정보보호최고책임자(CISO) 지정 등 여러 보안 강화 부문에서도 갈등과 이견을 증폭시키는 원인이 되고 있다는 비판이다. 일각에서는 개인정보보호를 위한 독립된 컨트롤타워가 필요하다는 의견도 나온다.
김상봉 한성대 교수(경제학과)는 “정보보호와 관련 컨트롤타워가 없다보니 정부부처별, 기관별 영역에 대한 충돌과 중복이 발생한다”며 “카드사의 정보유출만 봐도 개인정보 보유 근거를 두고 개인정보보호법과 신용정보보호법, 상법 등이 서로 다른 해석을 하고 있고, 정보의 보유기간 또한 명확히 정의하지 않는 등 법 체계에 심각한 문제가 있다”고 꼬집었다. 김 교수는 “모호한 법과 기관의 역할을 명확히 재조정하거나 전담 조정 기구를 두는 것도 한 방법”이라고 덧붙였다.
상황이 이러니 금융권도 불만이다. 당초 금융서비스업자는 전자금융거래법, 신용정보제공자는 신용정보법, 전기통신사업자는 정보통신망법이 각각 적용되도록 입법했지만 현재 금융권은 세가지 법안 모두 적용받는다.
금융권 고위 관계자는 “고객정보를 보호해야하는 것은 당연한 의무지만 각 법률과 기관에서 요구하는 중복된 지시를 각기 다르게 처리해야하는 과정이 되레 대책을 마련하고 고객에 집중할 시간을 빼앗는 경우가 많다”고 볼멘소리를 냈다.
<개인정보보호 관련 법률 체계 (*괄호 안은 제정일자, 정보통신망법은 전부개정일자)>
길재식기자 osolgil@etnews.com
