앞으로 금융사는 이름·주소 등 필수 정보를 제외한 다른 정보를 고객에게 요구할 수 없다. 또 개인정보 유출 사고를 일으킨 금융회사에 대해서는 최장 6개월의 영업정지 조치가 내려지고 과태료도 현재의 600만에서 5000만원으로 8배 이상 늘어난다.

금융위원회는 지난 10일 정부서울청사에서 기획재정부·미래창조과학부·안전행정부·방송통신위원회·금융감독원 등과 함께 합동 브리핑을 열고 이 같은 내용을 담은 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표했다.

이번 대책은 대규모 고객정보 유출 사건이 재발하지 않도록 정보유출·해킹사고를 차단하는 데 초점이 맞춰져 있다.

신제윤 금융위원장은 “개인정보의 보호를 강화하고, 정보유출의 재발방지를 위한 근본적인 개선책을 마련했다”며 “법을 개정할 필요가 없는 사항에 대해서는 조속히 시행될 수 있도록 지원할 것”이라고 말했다.
다음은 이번 종합대책의 주요 내용을 정리한 것이다.

수집-보유·활용-파기, 단계별 개인정보 보호 강화

현재 30~50개에 달하는 개인정보를 수집하고 있는 금융사는 앞으로 이름, 주민등록번호, 주소, 연락처, 직업, 국적 등 6~10개의 필수정보만 수집할 수 있다.

또한 금융 거래를 시작할 때 계좌 개설 신청서에 직접 주민번호를 기입하는 게 아니라 키패드에 주민번호를 입력하는 방식을 취하게 된다. 일단 거래를 시작하면 그 후부터는 주민번호를 사용치 않고 신원을 확인하게 된다.

아울러 금융지주회사에 속한 계열사끼리 고객 정보를 공유하더라도 해당 정보를 고객의 동의없이 외부영업에 이용할 수 없다. 특히 고객과의 거래가 종료된 후에는 식별·거래정보 등 일정기간 보관이 필요한 정보를 제외한 다른 정보는 즉시(3개월 이내) 파기해야 한다.

또 고객이 자신의 정보가 어떻게 활용되는지 알 수 있도록 ‘정보 이용현황 조회권’이 신설되고, 기존의 정보 제공 동의를 철회할 수 있는 권리와 영업목적의 연락을 차단하는 시스템도 구축된다.

금융회사의 정보 보호 책임 확대

앞으로 금융사의 보안대책 미비로 사고가 일어날 경우 과태료가 현행 최대 600만원에서 최대 5000만원으로 상향 조정된다. 영업정지 기간도 현행 최장 3개월에서 6개월로 늘어난다.

특히 정보 유출사고를 일으키면 해당 기관에 최대 50억원의 ‘징벌적 과징금’이 부과되고, 불법정보를 활용한 영업이 적발됐을 경우에는 천문학적인 수준의 과징금(관련 매출액의 일정비율)이 부과된다.

또한 종합대책에 따르면 CEO를 비롯해 주요 임원들의 정보보호 책임도 크게 강화된다. CEO와 이사회는 매년 정보보호 현황 및 정책에 대한 보고서를 금융감독원에 제출해야 하고, 신용정보 관리·보호인을 임원으로 두고 권한을 강화해야 한다.

금융사는 또 제3자 및 계열사에 정보를 제공한 경우 이용기간이 경과한 정보의 파기여부를 확인하고 관리실태를 CEO 등에 주기적으로 보고해야 한다.

해킹 상시 모니터링 체제 도입, 유지해야

한편 지금은 은행과 증권사들만이 전산망에 대한 해킹 여부를 모니터링하고 있지만 앞으로는 보험·카드업계도 해킹 등 전자적 침해 여부를 모니터링하는 ‘금융전산 보안관제’를 도입해야 한다.

특히 이번 카드사 정보유출이 외주업체 직원에 의해 발생한 것을 감안해 금융사 외주용역의 ‘입찰·계약·수행·완료’ 등 전 단계에 걸쳐 관리 기준을 마련해야 한다.

또한 보안성이 높은 IC카드·단말기의 활성화를 위해 올 하반기부터 IC카드의 결제를 우선 진행하는 ‘IC결제 우선 승인제’를 실시하고, 2016년부터는 전 가맹점의 IC단말기 사용이 의무화 된다.