금융사, 고객 이름·주소 외에 다른 정보 수집 불가

앞으로 금융사는 이름·주소 등 필수 정보를 제외한 다른 정보를 고객에게 요구할 수 없다. 아울러 이미 수집한 정보라도 거래가 중단되면 즉시 파기해야 한다.

정보유출 사고를 일으킨 금융회사에 대해서는 최장 6개월까지 영업정지 조치를 내릴 수 있고, 과태료도 현재의 600만에서 5,000만원으로 8배 이상 늘어난다.

금융회사 최고경영자(CEO)는 정보보호와 보안에 대한 현황 및 정책 보고서를 매년 금융감독원에 제출해야 한다.

금융위원회는 10일 정부서울청사에서 기획재정부·미래창조과학부·안전행정부·방송통신위원회·금융감독원 등과 함께 합동 브리핑을 열고 이 같은 내용을 담은 '금융분야 개인정보 유출 재발방지 종합대책'을 발표했다.

이번 대책은 대규모 고객정보 유출 사건이 재발하지 않도록 정보유출·해킹사고를 차단하는 데 초점을 맞췄다.

신제윤 금융위원장은 "개인정보 보호 강화 및 정보유출 재발방지를 위한 근본적인 제도개선책을 마련했다"며 "법을 개정할 필요가 없는 조치는 최대한 조속히 시행할 것"이라고 말했다.

◇'수집-보유·활용-파기' 단계별 개인정보 보호 강화

 현재 30~50개에 달하는 개인정보를 수집하고 있는 금융사는 이름·주민등록번호·주소·연락처·직업·국적 등 6~10개의 필수정보만 수집할 수 있다.

또한 금융 거래를 시작할 때 계좌 개설 신청서에 직접 주민번호를 기입하는 게 아니라 키패드에 주민번호를 입력하는 방식을 취하게 된다. 일단 거래를 시작하면 그 후부터는 주민번호를 사용치 않고 신원을 확인하게 된다.

▲ 지난달 18일 오전 서울 여의도 국회에서 열린 정무위원회 개인정보 대량유출 관련 실태조사 및 재발방지를 위한 국정조사 청문회에서 신제윤(오른쪽부터) 금융위원장, 현오석 경제부총리, 최수현 금융감독원장이 참석해 자리하고 있다/뉴시스

금융회사의 정보 보유 및 활용에 대한 구체적인 가이드라인도 마련됐다.

금융지주회사에 속한 계열사끼리 고객 정보를 공유하더라도 해당 정보를 고객의 동의없이 외부영업에 이용할 수 없고, 제3자에 대한 정보제공 동의를 요청할 경우 포괄적 동의가 아닌 '필수적 제3자'와 '선택적 제3자'로 나눠 동의를 거치도록 했다.

기존 회사에서 분사해 새로운 금융회사로 출범하는 경우, 원칙적으로 자사 고객이 아닌 개인정보는 이관받을 수 없다. 단, 분사 이전부터 영업상의 필요에 따라 보관중인 정보는 자사의 고객정보와 분리해 관리해야 한다.

문자메시지 전송을 통한 비대면(非對面) 영업행위는 전면 금지되고, 전화·이메일을 통한 영업은 금융당국이 제시한 형식에 맞춰 제한적인 범위에서만 허용된다.

고객과의 거래가 종료된 후에는 식별·거래정보 등 일정기간 보관이 필요한 정보를 제외한 다른 보는 즉시(3개월 이내) 파기해야 한다.

또 고객이 자신의 정보가 어떻게 활용되는지 알 수 있도록 '정보 이용현황 조회권'이 신설되고, 기존의 정보 제공 동의를 철회할 수 있는 권리와 영업목적의 연락을 차단하는 시스템도 구축된다.

◇금융회사의 정보 보호 책임 확대

 앞으로 금융사의 보안대책 미비로 사고가 일어날 경우 과태료가 현행 최대 600만원에서 최대 5000만원으로 상향 조정된다. 영업정지 기간도 현행 최장 3개월에서 6개월로 늘어난다.

정보 유출사고를 일으키면 해당 기관에 최대 50억원의 '징벌적 과징금'이 부과되고, 불법정보를 활용한 영업이 적발됐을 경우에는 천문학적인 수준의 과징금(관련 매출액의 일정비율)이 부과된다.

또한 CEO를 비롯해 주요 임원들의 정보보호 책임을 크게 강화한다.

CEO와 이사회는 매년 정보보호 현황 및 정책에 대한 보고서를 금융감독원에 제출해야 하고, 신용정보 관리·보호인을 임원으로 두고 권한을 강화해야 한다.

일정 규모 이상의 금융사 정보보호최고책임자(CISO)는 이해상충 방지를 위해 IT관련 직위를 겸직할 수 없게 된다.

▲ 국민카드, NH농협카드, 롯데카드 등 금융사의 대규모 개인정보 유출 사태가 일어난 가운데 지난달 21일 오전 서울 중구 충정로 NH농협은행 창구에서 고객들이 은행업무를 보고 있다/뉴시스

금융회사 소속 대출모집인이 체결한 계약을 승인할 경우에는 모집경로를 확인해 적법 정보를 활용했는지 여부를 확인해야 한다.

금융사는 또 제3자 및 계열사에 정보를 제공한 경우 이용기간이 경과한 정보의 파기여부를 확인하고 관리실태를 CEO 등에 주기적으로 보고해야 한다.

◇해킹 상시 모니터링 체제 도입, 유지해야

 지금은 은행과 증권사들만이 전산망에 대한 해킹 여부를 모니터링하고 있지만 앞으로는 보험·카드업계도 해킹 등 전자적 침해 여부를 모니터링하는 '금융전산 보안관제'를 도입해야 한다.

한국인터넷진흥원 등 외부평가기관이 금융사의 전산보안 수준을 평가·공개하는 '금융전산 보안인증제'도 도입된다.

이번 카드사 정보유출이 외주업체 직원에 의해 발생한 것을 감안해 금융사 외주용역의 '입찰·계약·수행·완료'등 전 단계에 걸쳐 관리 기준을 마련해야 한다.

또한 보안성이 높은 IC카드·단말기의 활성화를 위해 올 하반기부터 IC카드의 결제를 우선 진행하는 'IC결제 우선 승인제'를 실시하고, 2016년부터는 전 가맹점의 IC단말기 사용이 의무화 된다.

정보보안의 사각지대로 지목돼 온 밴(VAN, 결제승인 대행업체)업계의 문제를 해결하기 위해 '밴사 등록제'가 도입된다.

◇기존 정보에 대한 관리 강화

 금융사는 올해 안에 보유 고객정보에 대한 전면 점검을 마치고 계약유지·법률상 의무이행 등에 꼭 필요한 정보 이외에는 일괄 파기해야 한다.

또한 정보유출 사고가 발생할 경우를 대비해 각 금융사별로 CEO 책임하에 대응매뉴얼을 마련해야 하고, 사고가 일어났을 경우 금융당국은 물론 관계부처·기관과 공조를 통해 대응할 수 있도록 사전 대책을 수립해야 한다. [미디어펜=장원석 기자]