금감원, 금융권 개인정보 부실관리 ‘경고’

“개인정보보호법에 정해진 고객의 자기정보 통제권이 보장될 수 있도록 직원교육을 소홀히 한 금융회사들에 대해서는 자체 교육을 강화하도록 유도하는 한편, 고객 선택사항 동의 거부를 제한한 금융회사에 대해서는 동의서 양식 및 인터넷 금융시스템을 시정하도록 지도하기로 했다.” 이종호 금융감독원 특수은행검사국 신용정보팀장

앞으로 금융회사들이 개인정보 제공에 동의하지 않는 고객의 거래를 거절하거나, 동의를 강요하면 금융당국이 엄중 조치에 나선다. 특히 개인정보 수집ㆍ유출ㆍ오남용으로부터 사생활 보호를 위해 시행된 개인정보보호법에 따라 금융당국이 수집 및 이용한 민원인 등에 대한 개인정보 보안 및 관리를 한층 강화할 방침인 것으로 전해져 귀추가 주목된다.

◇ 49개 금융회사 개인정보수집 동의서 운영 ‘미흡’
“개인정보 수집·활용에 동의하지 않으면 거래가 불가능합니다.”

금융회사에서 신용카드를 발급받거나 대출을 받을 때 담당 직원한테서 흔히 듣는 말이다. 현행 법규상 필수 사항이 아닌 선택 사항에 동의하지 않는다고 해서 금융회사 쪽에서 금융 거래를 거절할 수 없도록 돼 있다. 그럼에도 실제 금융거래에서는 여전히 이런 행위가 빈번한 것으로 나타났다. 또 전기요금 등과 같은 정보까지 필수 사항으로 분류해 놓고 이를 강요해 온 사례도 적발됐다.

예컨대 금융감독원이 금융회사 304곳(은행 18, 저축은행 96, 여전사 60, 생·손보 39, 증권 60, 자산운용 11 등) 의 개인 신용정보 수집 실태을 점검한 결과, 이 가운데 49곳 금융회사가 직원 교육이 미흡하거나 선택사항에 대한 동의 거부를 제한하는 등의 문제점이 드러나 이를 시정하도록 조처했다. 현행법상 금융회사가 고객의 개인정보를 요구할 땐 필수사항과 선택사항으로 구분해 고객 동의를 받아야 한다. 이 중 선택사항에는 고객이 동의하지 않더라도 금융거래를 거절할 수 없다.

하지만 42개 금융회사에서는 이러한 사항에 대해 직원교육을 전혀 하지 않은 것으로 드러났다. 고객 안내를 담당하는 직원이 관련 규정을 알지 못한 채 불필요한 동의를 요구했을 가능성이 큰 것이다. 6개 금융회사에서 인터넷 금융거래 시 선택사항에 동의하지 않으면 아예 금융거래를 못 하게 했다. 또 2개 금융회사에서는 필수사항과 선택사항을 섞어놓고 일괄적인 동의를 요구하는가 하면 아예 이러한 필수ㆍ선택 구분 자체가 없는 곳도 있었다.

금감원 특수은행검사국 신용정보팀 이재훈 검사역은 “은행보다는 저축은행·카드사·보험사들에서 이런 문제점이 두드러졌다”며 “고객 안내 등을 담당하는 직원이 관련 규정을 알지 못해 불필요한 동의를 요구할 개연성이 있다”고 지적했다.
◇ 개인신용정보 선택사항 동의 강요 행위 확인시 엄중 조치

이에 따라 금감원은 고객이 개인 신용정보 수집 선택사항에 동의하지 않더라도 금융회사들이 금융거래를 거절할 수 없다며 금융회사의 거래시스템을 시정토록 지도할 계획이다. 금감원 이재훈 검사역은 “금융회사가 고객의 개인 신용정보를 수집·이용·제공하는 경우 개인정보보호법 제22조에 따라 필수사항 및 선택사항으로 구분하여 고객 동의를 받아야 하며 고객이이 중 선택사항에 동의하지 않더라도 금융거래를 거절할 수 없다”고 말했다.

금감원은 개인정보보호법에 정해진 고객의 자기정보 통제권이 보장될 수 있도록 직원교육을 소홀히 한 금융회사들에 대해 자체 교육을 강화하도록 유도할 방침이다.

또 고객의 선택사항 동의 거부를 제한하는 문제점이 확인된 금융회사에 행정안전부와 협의를 거쳐 동의서 양식 및 인터넷 금융거래 시스템을 시정토록 지도할 계획이다. 이종호 신용정보팀장은 “해당 금융회사에 대한 현장검사 시 시정 결과를 점검할 계획”이라며 “향후 선택사항에 대한 동의 강요 등으로 인한 위규사실이 확인되는 경우 금융위원회와 행정안전부 등 유관기관과 협의해 엄중 조치할 것”이라고 말했다. 은행 등 금융사가 개인 신용정보 선택사항에 대한 동의 강요 행위 등가 확인될 경우 금감원 제보전화 1332나 개인정보침해신고센터 118로 신고하면 된다.
◇ 개인정보 보안 등급별 대책 마련

한편, 금감원은 금융민원센터로 접수된 민원인ㆍ금융권검사ㆍ증권 대주주 정보 등 수백만건의 개인정보에 대해 그 수준을 진단하고 관리할 수 있는 시스템 구축에 착수했다.

우선, 금감원은 현재 보유하고 있는 수백만건의 개인정보를 보안 등급별로 나눠 라이프사이클(수집→이용→제공→파기) 단계별 보안위협 요인과 부합하는 보호책을 세울 예정이다.

개인정보 취급부서 및 담당자, 개인정보 종류 및 등급, 위험분석 모델 등을 등록하고 조회할 수 있는 시스템을 만들어 체계적인 정보 관리 및 유출 사고도 사전에 방지할 계획이다. 또한 임직원을 대상으로 오프라인 개인정보보호 교육을 정기적으로 실시해 그 중요성을 제고시킬 방침이다. 금감원 이재훈 검사역은 “개인정보보호법 시행에 맞춰 금감원에서 취급하는 개인정보에 대한 체계적이고 지속적인 보호대책을 수립해 그 정보의 수집부터 파기될 때까지 보안을 강화하는 작업”이라고 말했다

이번 개인정보 관리시스템 구축은 빠르면 9월경 완료될 것으로 보인다.

                          〈 304개 금융회사 개인 신용정보 운영 실태 현황 〉
                                       * 중복 금융회사(2개) 포함
(자료 출처: 금융감독원 특수은행검사국 신용정보팀)



김의석 기자 eskim@fntimes.com