신용정보보호法 9개월째 표류 ‘왜’

오는 7일이면 카드 3사(KB국민카드, 롯데카드, NH농협카드)의 대규모 정보유출 사태가 터진 지 꼭 1년이 된다. 하지만 재발 방지를 위한 법안은 9개월째 국회에 잠자고 있다. 사고 직후 정부가 서둘러 보안을 강화하는 내용의 신용정보보호법 개정안을 마련했지만, 개정안에 포함된 신용정보 집중기관 신설에 이견이 속출하며 법안은 여전히 국회 정무위원회에 계류돼 있는 상태다.

현재는 신용정보를 각각의 금융협회가 관리한다. 은행거래정보는 은행연합회, 보험거래정보는 생보·손보협회 등이 관리하는 식이다.

그러나 개정안은 이들 협회가 관리하고 있는 신용정보를 한데 모아 별도의 신용정보 집중기관을 설립해 관리하도록 규정하고 있다. 기존 신용정보관리기구인 은행연합회 등 금융협회가 반발하는 것은 당연한 수순이다.
피해는 애꿎은 금융 소비자들이 보고 있다. 개정안에는 신용정보 집중기관 신설 외에도 신용정보가 유출될 경우 금융사에 징벌적 손해배상을 하도록 하고, 법정손해배상 제도를 통해 정보유출 피해자가 300만원 한도에서 손쉽게 배상을 받을 수 있는 내용을 포함하고 있기 때문이다.

◇ ‘신용정보 집중기관’에 막힌 신용정보보호法 개정안

새해 국회는 ‘정윤회 국정개입 의혹’ 관련 여야의 공방전이 벌어질 오는 9일 운영위 전체회의 전까지 공전이 계속될 전망이다. 국회 정무위 한 관계자는 “운영위 전까지는 사실상 정무위는 물론 모든 상임위가 운영되지 않을 것으로 보면 된다”며 “신용정보보호법 개정안도 9일 이후에나 논의가 가능할 것”이라고 말했다.

신용정보보호법 개정안은 △제3자 및 계열사에 대한 정보를 제한하고 △명의 도용이 우려될 때 조회 중지 청구권을 부여하며 △징벌적 손해배상제를 도입해 실질적 손해배상이 가능케 하고 △현재 개별 금융협회들이 담당하는 신용정보 집중기능을 신설 기관에 이전하는 등 카드정보 유출 사건의 실질적 대책 성격으로 마련돼 지난 4월에 정무위 법안소위에서 의결됐지만, 9개월째 전체회의 문턱을 넘지 못하고 있다.

쟁점은 신용정보 집중기관 신설이다. 금융위원회는 현재 은행연합회, 생명보험협회, 손해보험협회, 여신금융협회 등이 각각 관리하고 있는 개인정보를 새로운 집중기관에 모아, 정부 차원에서 보안을 강화해야 한다는 입장이다.
신제윤 금융위원장은 지난달 5일 정무위 전체회의에서도 “일부 개별신용정보집중기관(금융업협회)는 보안 투자여력이 없어 하나로 모아 대규모 보안투자를 해야 한다”고 말했다.

반면 금융권 일각에선 개별협회가 관리하는 신용정보를 모두 한 곳에 모으면 오히려 ‘해킹’의 집중 공략 대상이 되고, 만일 사고가 발생하면 피해 범위가 더 커질 수 있다는 것을 우려하고 있다. 국회 정무위 소속 새정치민주연합 김기준 의원도 “지난해 정보유출 사고는 신용정보가 개별적으로(각 금융업협회로) 흩어져 생긴 게 아니라, 집중된 신용정보를 금융회사들이 활용해 돈을 벌 수 있도록 했기 때문”이라며 “개별기관 신설여부와 관계 없이 개정안에서 그 부분은 바뀐다”고 지적했다.

또 정보 관리의 공공성 강화를 위한 신용정보 집중기관을 ‘주식회사’ 형태로 만들겠다는 정부안도 논란의 대상이다. 금융위는 현재 신용정보를 관리하는 개별 금융업협회의 지분 참여를 위해 주식회사 형태를 고려했다는 입장이지만, 영리를 목적으로 하는 주식회사는 ‘민간에 신용정보를 두지 않겠다’는 설립 취지와 어긋난다는 지적이다. 이에 따라 금융위는 최근 ‘주식회사 형태를 고집할 필요는 없다’는 입장으로 선회한 것으로 전해졌다.

◇ 3년 전까지만 하더라도…금융위 “신용정보 관리기능 ‘민간’에 둬야”
이처럼 신용정보보호법 개정안 놓고 이 같은 논란이 가열되자, 금융계 일각에서는 정부 당국의 책임회피에 따른 보여주기식 탁상행정에서 비롯됐다고 지적한다. 정작 중요한 각 금융사에 대한 당국의 보안관리·감독강화 문제는 회피한 채 관련 신용정보 집중기관을 신설하는 것으로 모든 문제를 해결하려 한다는 것이다.

금융권 한 관계자는 “정보유출사태로 금융당국 수장을 변경해야 한다는 정치권의 압박이 강해지면서 희생양으로 은행연합회를 제시한 것으로 안다”고 말했다. 실제로 3년 전까지만 하더라도 금융위는 은행연합회가 신용정보를 관리하는 게 바람직하다는 입장이었다.

지난 2012년 2월 정무위 법안심사소위원회에 참석한 추경호닫기추경호기사 모아보기 당시 금융위 부위원장은 현재 은행연 산하에 있는 신용정보협의회를 금융위로 이전하자는 주장에 대해 “법적 책임 주체가 불분명하므로 권한과 책임상의 혼선이 우려된다”며 “현재도 금융감독원이 신정협의 결정사항을 보고받고 문제있는 부분에 대해 시정·변경·권고까지 할 수 있어 관리·감독에 문제가 없다”고 의견을 개진했다.

신용정보 집중기관이 신설된다고 해도 국내 보안시스템을 얼마나 향상시킬지는 미지수다. 현재는 신용정보집중기관에 대한 최소한의 인·허가 기준만 있을 뿐, 하나로 합친 통합 정보를 관리할 것인지에 대한 청사진은 없기 때문이다. ‘계란을 한 바구니에 담지 않듯’ 신용정보를 집중시키면 오히려 그 방어벽이 뚫렸을 때 더 큰 피해가 발생할 수 있지만 금융위는 “추후 논의할 사항”이라는 입장을 제기할 뿐이다. 오히려 현재 안정적으로 유지되고 있는 관리시스템을 건드려 혼란을 자초할 것이라는 우려도 나온다.

은행연합회의 경우 전체 150여명의 직원 중 60여명이 신용정보 업무를 담당하고 있는 탓에 조직·예산 상당 부분을 내줄 것을 우려하고 있다. 특히 은행연합회 내부에선 ‘30여년 동안 무사고였던 은행권에 카드사 유출의 불똥이 튀었다’는 불만이 상당하다.

은행연합회 한 관계자는 “현재 분산돼 보관 중인 질병정보, 카드거래 정보까지 모두 한 곳에 통합하기를 과연 국민들이 원하는지, 국회가 잘 판단해야 한다”고 말했다.

이 관계자는 이어 “지난 30여년 단 한 건의 정보유출도 없이 신용정보를 관리했는데 정보보안 책임을 우리에게 묻는다는 것이 납득되지 않는다”며 불만을 토로했다. 실제 은행연합회는 한국인터넷진흥원(KISA)에서 일정 기준의 사이버 보호체계를 갖춘 사업자에게만 부여하는 ISMS인증을 갖춘 몇 안되는 곳이다.



김의석 기자 eskim@fntimes.com