금융권 개인정보 수탁업체 안전성 강화 방안

개인정보 관리 외부에 위탁해도 법위반시 손해배상은 금융회사 몫

금융권 공동으로 수탁업체 점검하고 교육 수행하는 방안 강구해야

2008년 옥션 해킹사건 이후 불거진 개인정보 유출사고는 최근 몇 년간 발생 빈도 및 피해 규모가 날로 심각해지고 있다. 이에 대한 대책으로 2011년 9월 개인정보보호법이 개정되고 지난해 3월 본격 시행되어 법적 처벌이 상당히 강화되는 등 ‘개인정보보호’는 최근 사회 전반의 뜨거운 관심사항이다.
특히 금융회사들이 직면한 DB암호화, 망분리 등과 같은 보안 이슈와 함께 고객정보보호를 위한 개인정보 수탁업체 관리방안이 중요한 이슈로 떠오르고 있다. 그 이유는 개인정보보호법 제26조에 따라 개인정보를 위탁하는 금융회사는 수탁자를 교육하고 개인정보를 안전하게 처리하는지 감독해야 하며, 수탁자가 개인정보를 처리하는 과정에서 법 위반이 발생할 경우 손해배상에 대한 책임이 해당 업무를 위탁한 금융회사에 있기 때문이다.

또한 금융회사는 ‘금융기관의 업무위탁 등에 관한 규정’(금융위원회고시 제2008-3호)의 업무위수탁 기준에 따라 위탁업무 수행 관련 주요사항 모니터링 절차, 모니터링 담당직원의 지정 등에 관한 사항이 포함된 업무 위수탁 운영 기준을 제정·운영하여야 하며, 업무 위수탁 계약서 내에는 수탁자에 대한 감사권과 고객정보의 보호 및 비밀유지 등에 관한 사항을 포함하여야 한다.

이와 같은 법률적 근거에 의거하여 금융회사는 개인정보 위·수탁과 관련된 법률 및 고시 등에서 규정하고 있는 내용을 기반으로 개인정보 수탁업체 안전성 점검 체크리스트를 마련하여 수탁자의 개인정보 운영에 대한 감독과 정보보안 관리체계를 제대로 갖추고 있는지 점검해야 한다. 개인정보 안전성 점검 체크리스트는 개인정보 수탁업체가 금융회사로부터 관련 정보를 수탁 받은 이후를 기준으로 개인정보의 수집, 저장, 이용, 폐기의 단계에서 개인정보가 안전하게 관리될 수 있는지를 판단할 수 있도록 작성되어야 한다.

또한 개인정보의 안전한 보호를 위해서 관리적·기술적·물리적 환경에서 발생 가능한 다양한 보안위협 요소를 고려하고, 각각의 환경에 대한 보호조치가 적정하게 이루어지고 있는지를 확인할 수 있어야 한다. 수탁업체의 효율적인 점검을 위한 절차는 사전 점검 고지, 점검 범위 및 대상 선정, 점검 수행, 점검결과 확인, 미비한 항목에 대한 이행계획서 접수, 이행 점검 등으로 진행될 수 있다.

이중 쉽게 간과될 수 있는 단계는 ‘이행 점검’ 단계인데, 컴플라이언스 준수에 급급하여 단순 점검 행위로 그쳐서는 안 될 것이다. 점검 후 미비한 사항에 대한 수탁업체의 이행계획을 받고 수행이 제대로 이루어졌는지 ‘이행점검을 수행’하는 것이 중요하다. 이행점검 단계를 통해 수탁업체가 수행하는 위탁업무 및 정보에 대한 실질적인 안전성을 향상시킬 수 있다.
개인정보 수탁사업자에 대한 감독 및 교육과 관련된 규정은 금융회사뿐 아니라 개인정보보호법이 적용되는 모든 분야에 해당되지만, 특히 금융회사의 경우 업무 특성상 다수의 사업자와 위탁 계약을 맺기 때문에, 자체적으로 모든 수탁자에 대한 교육 및 감독을 수행한다는 것은 쉽지 않다. 더욱이 수탁업체는 여러 금융회사와 계약을 맺고 있어 각각의 금융회사로부터 감독을 받거나 교육을 듣는 것은 현실적으로 불가능하다. 업무의 중복성과 비용적인 부분을 고려하여 이후 금융권 공동으로 수탁업체에 대한 점검 및 교육을 수행하는 방안을 고려하고, 금융권 개인정보 수탁업체 인증제도 도입 등 효율적인 수탁업체 관리 방안이 마련되어야 할 것이다.

이와 관련 금융보안연구원은 개인정보보호법, 금융업무위수탁에 관한 규정, 표준개인정보보호지침, 개인정보의 안전성 확보조치 기준고시 등 관련 법률 및 규정 분석을 통해 금융회사에 가이드를 제공하며, 특히 금융정보보호아카데미 교육 프로그램 내 수탁업체에 필요한 내용의 과정을 개설하는 등 금융권의 개인정보 수탁업체 안전성 강화 정책을 적극 지원할 방침이다.



관리자 기자