현오석 부총리는 올해 초 발생한 카드사 개인정보 유출 사건은 그동안 우리 사회가 소중한 개인정보를 얼마나 소홀히 다뤘는지 절실하게 깨닫는 값비싼 계기가 되었다고 했다.

이번 사태는 그간 우리 사회에 누적된 비정상적인 제도와 관행에서 기인한 문제이며 그동안 금융회사는 고객으로부터 개인정보를 과도하게 수집한 반면 수집한 정보는 허술하게 관리되었다며 정부와 감독당국 역시 과거 수차례 비슷한 사건을 겪으면서 관련 금융회사에 보다 강력한 제재를 통한 일벌백계의 효과를 도모하지 못했고 불법 정보가 유통.활용되는데 대한 단속과 감독이 미흡하여 불법정보에 대한 거래 수요를 근본적으로 차단하지 못했다고 했다.

현오석 부총리는 이번 사고는 결국 정부와 금융회사가 마땅히 해야 할 아주 기본적인 임무를 하지 않아 발생한 것이라고 생각한다며 개인정보 보호 강화는 경제혁신 3개년 계획의 3대 핵심전략 중 그 첫 번째인 '기초가 튼튼한 경제'를 구현하기 위한 매우 중요한 실천과제라고 했다.

현오석 부총리는 정부가 경제혁신 3개년 계획의 후속조치로서 금융분야 개인정보유출 재발방지 종합 대책을 마련하였다며 금번 대책은 지난 1월 발표한 금융회사 고객정보 유출 재발방지 대책 등의 내용을 보다 발전.구체화 시키고 국회 국정조사 논의과정에서 제기된 내용도 반영하였다고 했다.

주요내용을 살펴보면 첫째는 고객정보의 수집, 제공, 유통, 관리 전반에 걸쳐서 소비자의 관점에서 제도와 관행의 개선이다.

현오석 부총리는 계약체결을 위한 필요 최소한의 정보만을 수집하도록 하는 한편 필수 항목과 선택 항목을 보다 명확히 구분하여 선택항목에 대해서는 포괄적 정보제공 동의를 제한하고 고객이 동의 거부를 하더라도 계약체결이 가능하다는 점을 명확히 인식할 수 있도록 동의서 양식과 글자 크기에 이르기까지 소비자 입장에서 세밀하게 개선하겠다고 했다.

또한 소비자가 본인 정보의 이용현황을 금융회사에 언제든지 조회할 수 있고 삭제 및 보안 조치도 요청할 수 있도록 하여 소비자의 자기정보 결정권을 강화한다고 했다.

둘째는 금융회사가 확실하게 책임지는 구조의 확립이다.

현오석 부총리는 금융회사 CEO에게 신용정보 보호와 관련한 의무를 명시적으로 부여하여 이를 제대로 이행하지 않을 경우 해임까지를 포함한 엄정한 징계가 가능하도록 할 것이라며 개인정보를 유출.활용한 금융회사에 대해서는 '징벌적 과징금 제도'를 도입하고 위반이 반복될 경우 문을 닫을 수 있다는 경각심을 갖도록 제재를 대폭 강화하겠다고 했다.

셋째, 해킹 등에 대비해서 사이버 안전 대책 강화이다.

현오석 부총리는 금융회사의 내.외부망 분리와 함께 내부망에 저장된 개인고유 식별정보의 암호화를 추진하며 또한 객관적인 평가기관으로 하여금 금융회사에 전산보안 관리 수준을 평가토록 하는 등 강력한 전산시스템 보안 체계를 구축하겠다고 했다.

넷째, 기존에 제공된 개인정보로 인한 피해 가능성의 차단

현오석 부총리는 금융회사가 보유하거나 제3자에 제공한 개인정보 중 꼭 필요한 정보 외에는 모두 파기토록 추진하고 기존에 불법유통 정보에 대해서는 검.경의 합동단속을 무기한 실시토록 하겠다며 불법정보 수요를 근본적으로 차단하기 위해서 불법유통정보를 활용한 대출모집인, 보험설계사 등은 사실상 영구적으로 퇴출하고, 보이스피싱, 스미싱 등 불법 행위에 이용된 전화번호는 신속히 차단되도록 제도를 개선하겠다고 했다.

한편 소비자 피해 구제 강화를 위해서 국회에서 제기된 징벌적 손해배상, 배상명령제도 등에 대해서는 기존 법체계, 소비자 피해 구제의 필요성 등을 고려해서 관련 부처가 다각적으로 검토해 나가겠다고 했다.

현오석 부총리는 정부는 이번 카드사 개인정보 유출사고를 과거처럼 일회성 사고로 흘려버리는 우를 범하지 않고 앞으로 유사사건이 결코 재발되지 않도록 금번에 마련한 대책이 현장에서 제대로 집행되고 착근될 수 있게 철저히 점검하겠다고 했다.

최근 KT 고객정보 해킹 사건에서도 보듯이 금융분야 이외의 여러 분야에서도 개인정보는 다양한 위험에 노출되어 있다며 오늘 금융분야에 대한 개인정보 보호대책을 발표하였지만 경제혁신 3개년 계획 세부 실행과제로서 금융 이외의 분야에 대해서도 개인정보 보호를 위한 실천방안을 조속히 마련하도록 하겠다고 했다.

현오석 부총리는 범정부 T/F를 통해서 통신, 의료, 공공부문 등 사회 전반에 걸쳐 개인정보 보호 관리 실태를 일제 점검하고 실태조사 결과를 바탕으로 보다 근본적이고 포괄적인 개인정보 보호를 위한 재발방지 대책을 올해 상반기 중 마련토록 하겠다고 했다.

현오석 부총리는 금융거래 더 나아가 우리의 일상적인 경제활동은 서로 간의 신뢰를 바탕으로 하고 국민 여러분의 개인정보가 제대로 보호되지 않는다면 그 신뢰의 기반은 무너지는 것이라며 정부는 개인정보 보호에 대해서는 기초를 다시 쌓는다는 자세로 임하며 이번 대책이 그 출발점이 되도록 실천에 최선을 다하도록 하겠다고 했다.

신제윤 금융위원장은 정부가 카드사 정보유출 사고가 발생한 직후부터 금융회사의 개인정보 유출로 인해서 국민들이 다시는 불안해하지 않도록 근본적인 재발방지대책을 마련하겠다고 약속드린 바 있다며 금융분야 개인정보 보호 강화는 경제혁신 3개년 계획 중에 기초가 튼튼한 경제를 구현하기 위한 핵심 실천과제 중의 하나라고 했다.

신제윤 금융위원장은 금번 카드사 정보유출 사건을 계기로 금융회사의 과도한 개인정보 수집과 활용, 포괄적 동의 관행, 다양한 경로의 불법정보 수요, 금융회사 내부통제 부실, 그리고 충분하지 않은 제재수준까지 다양한 문제점이 적나라하게 드러났다며 이에 정부는 개인정보의 수집, 관리, 제3자 제공, 불법정보 수요, 내부통제, 그리고 위반행위 제재까지 전 단계를 면밀히 살펴서 금융회사 고객정보의 유출과 불법유통이 재발하지 않도록 제도와 관행에 세밀한 부분까지 철저히 계산한 종합대책을 관계부처 합동으로 마련하게 되었다고 했다.

신제윤 금융위원장은 이번 대책을 수립함에 있어서 금융거래의 편의성과 효율성 관점이 아닌 금융소비자 관점에서 고객보호와 권리보장 강화에 최우선을 두었고, 부분적이고 단편적인 개선이 아닌 종합적이고 전면적인 개선에 중점을 두었으며 또한 강력한 전산시스템 보안체계 구축을 통해 해킹 등으로부터 안전한 금융시스템을 만들 것이라고 했다.

아울러 그간 문제로 지적되어 왔던 낮은 수준의 제재를 징벌적 과징금 도입 등으로 대폭 강화하여 유사범죄 재발을 철저히 예방해나갈 것이며 정보보호와 소비자권리 강화를 위한 조치는 가이드라인 제시 수준에서 그치지 않고 법령에 반영하여 실질적으로 구현토록 하겠다고 했다.

대책별 세부내용으로는 첫째, 단계별로 정보보호를 강화한다.

신제윤 금융위원장은 수집단계부터 필요최소한의 정보만을 모으도록 하고 철저히 관리하도록 하겠다며 업권별, 상품별로 많게는 50여 가지에 달하는 수집정보 항목을 6개 내지 10개의 필수항목과 선택항목으로 명확히 구분하여 최소한의 정보만 수집하도록 하겠다고 했다.

금융회사들이 최초 거래 시에만 전자단말기 직접입력 등을 통해 보다 안전한 방식으로 주민번호를 수집하고 이후에는 주민번호 기입 없이 신원확인 절차만 거치도록 하여 주민등록번호 노출을 최소화하겠다고 했다.

또한 수집된 주민등록번호는 암호화하여 안전하게 보관하고 주민번호의 불법 활용과 유출에 대하여는 일반 개인정보에 비해서 보다 엄중하게 제재하도록 하며 보유와 활용단계에서는 금융지주그룹 내의 계열사 정보를 고객 동의 없이 외부영업에 이용할 수 없도록 하고 이용기간을 필요최소한으로 제한한다고 했다. 분사를 하는 회사의 경우 자사고객이 아닌 개인정보는 원칙적으로 이관 받지 않도록 하고 제3자에게 개인정보를 제공하는 경우 포괄적 동의를 제한하고 계약체결에 필수적인 제3자와 선택적 제3자를 구분하여 동의를 따로 받도록 하겠다고 했다.

금융회사가 최소한의 정보만 수집하고 고객도 정보제공 내용을 명확히 인지할 수 있도록 금융회사가 받는 동의서 양식을 전면 개편하겠다며 우선, 필수사항과 선택사항을 동의서상에 별도 페이지로 명확히 구분하고 필수사항에만 동의하면 계약이 체결되도록 하며 동의서의 글자크기, 줄 간격 등도 확대하여 읽기 쉽게 개선하겠다고 했다.

신제윤 금융위원장은 불법유통정보에 대한 수요를 적극적으로 차단하겠다며 불법유통된 정보를 활용한 대출모집인 등은 전속계약을 즉시 해지하고 금융권에서의 영업활동을 사실상 금지토록 하며 무차별적이고 정보의 적법성 확인이 어려운 SMS나 이메일 등을 통한 비대면 영업도 엄격하게 통제하도록 하겠다고 했다.

신제윤 금융위원장은 국민들께서 불법유통정보에 기반한 범죄피해를 받지 않으시도록 관계부처와 함께 철저하게 예방하고 단속하겠다며 불법대부광고, 대출사기에 이용된 전화번호는 신속히 차단하여 국민들의 금융피해를 방지하고 전화 금융사기, 스팸 피해예방을 위해 통신사업자의 관리조치를 의무화하고 스미싱 방지를 위한 대응시스템도 구축하겠다고 했다.

또한 금융사기 피해 최소화를 위해 미지정계좌로는 1일 최대 100만 원의 소액이체만 허용하는 신입금 계좌지정서비스제도도 도입하며 이용기간이 끝난 정보는 확실하게 파기하고 수집된 정보는 거래종료 후 원칙적으로 파기토록 하고 보관이 필요한 경우에는 엄격한 보안조치에 따라 안전하게 보관토록 하겠다고 했다.

아울러 보관정보는 불가피한 경우를 제외하고는 5년 내 파기하도록 하며 제3자에게 제공된 정보 역시 이용기간이 지나면 제3자가 반드시 파기토록 금융회사의 확인.관리 의무를 강화하겠다고 했다.

두 번째 추진과제로 고객이 본인정보가 어떤 목적으로 언제 어떻게 활용되는지를 언제든지 파악하고 스스로 결정할 수 있는 자기정보 결정권이 확실하게 보장되도록 하겠다며 고객이 본인 신용정보의 이용.제공 현황을 언제든지 확인할 수 있도록 금융회사별로 조회 시스템을 구축하고 고객이 원하는 경우 기존의 정보제공 동의도 철회할 수 있도록 보장하겠다고 했다.

또한 고객이 금융회사로부터 영업목적 연락에 대하여 수신거부 의사를 밝히면 해당 금융회사의 영업목적의 연락이 전면 차단되는 금융권 통합 인터넷 사이트도 구축하겠다며 거래종료 이후에 고객이 본인정보 보호를 요청하시면 금융회사들이 파기 또는 보완조치를 취하고 그 결과를 즉시 통보토록 하겠다고 했다.

아울러 명의도용이 의심되는 경우 고객의 요청에 따라 카드발급 등을 위한 신용조회를 차단하여 고객의 신용상 불이익과 피해를 사전에 예방하겠다고 했다.

세 번째 추진과제는 금융회사 책임강화로 금융회사들에게 신용정보 관리현황 등을 담은 연차보고서를 작성하고 공개토록 하여 금융회사가 자체 점검을 지속.시행하도록 하겠다고 했다.

또한 금융회사에서 신용정보의 관리와 보호를 담당하는 책임자의 권한과 책임을 크게 강화하겠다며 일정 규모 이상의 금융회사에서는 임원으로 임명하고 신용정보 실태 전반을 관리하고 중요사항은 CEO에게 보고토록 하여 신용정보 관련 업무 총괄책임을 맡도록 하겠다고 했다.

IT부문의 법규수준과 보안.점검을 담당하는 정보보호 최고 책임자인 CISO의 독립성과 책임성도 한층 강화하겠다며 금융회사가 모집인을 통해 영업하는 경우에도 금융회사의 관리 책임을 대폭 강화하며 향후 모집인을 통해 정보가 불법유통될 경우 해당 금융회사에 대하여도 불법유통 행위자에 준하는 책임을 묻겠다고 했다.

금융회사 정보유출에 대한 징벌적 과징금제도도 새롭게 도입하며 개인정보를 유출하거나 불법 활용한 금융회사에 대해 금전적인 제재수준을 대폭 상향하여 금융회사들이 경각심을 갖고 사전예방에 최선을 다하도록 하겠다고 했다.

신용정보법, 전자금융거래법에서 개인정보 유출에 대한 형벌수준도 금융관련법 최고 수준으로 상향 조정하며 또한 정보유출방지 주의 의무를 다하지 않은 금융회사에 대한 과태료 수준도 상향 조정된다.

금융회사와 임직원에 대한 제재수준도 대폭 강화하고 상시점검이 미흡하여 사고를 탐지하지 못하였거나 숨기는 경우에는 보다 가중하여 제재하겠다고 했다.

신제윤 금융위원장은 금융권의 사이버 안전대책을 강화하며 관계기관과 함께 해킹 등 전자적 침해행위에 대하여 강력히 대응하겠다고 했다.

금융회사의 정보보안 내부통제 규정을 구체화하고 외주업체 용역에 대한 통제도 강화하겠다며 ICT 발전에 따라 고도화되는 해킹에 대비하여 금융회사의 내.외부망 분리를 추진하고 내부망에 저장된 개인고유 식별정보의 암호화도 추진하며 또한 객관적인 평가기관으로 하여금 금융회사의 전산보안 관리수준을 평가하는 금융전산보안 인증제를 도입하고 인증 통과 여부를 대외적으로 공개토록 하겠다고 했다.

신제윤 금융위원장은 금융회사들이 보안규정을 상시 준수하도록 전산보안 불시점검을 수시로 시행하여 금융회사들이 규정만 만들어놓고 실제로는 지키지 않는 행태를 철저히 고쳐나가겠다며 금융전산보안과 관련하여 종합서비스를 제공할 수 있는 전담기구도 설립하겠다고 했다.

신제윤 금융위원장은 최근 문제가 된 신용카드 결제 과정에서의 정보보호도 대폭 강화하겠다며 정보유출 위험성이 상대적으로 높은 일반 대형가맹점의 POS단말기는 금년 말까지 보안수준이 높은 IC단말기의 전환을 유도하고 영세가맹점에 대하여는 카드사가 기금을 조성하여 IC단말기 교체를 지원함으로써 가맹점의 부담을 덜면서 정보보호는 한층 강화하며 아울러 IC단말기 교체와 보급을 신속히 마무리하여 2016년부터는 IC카드결제가 전면 시행하도록 하겠다고 했다.

그동안 정보보호의 사각지대였던 신용카드 결제승인 중개업자인 밴(VAN)사의 정보보호도 대폭 강화하며 밴사의 금융위 등록을 의무화하고 밴사와 대리점이 개인정보 보호를 잘 준수하는지를 감독 당국이 수시로 점검해 나가겠다고 했다.

기존에 필요 이상으로 과도하게 나가 있는 정보와 불법 유통되고 있는 정보는 철저하게 파기하도록 조치하며 금융회사별로 꼭 필요한 정보 이외에는 즉시 파기토록 강력히 지도하고 제3자 및 계열사에게 제공한 정보도 금융회사로 하여금 철저히 점검.파기하도록 하고 정보관리가 미흡한 제3자와는 다시는 거래하지 못하도록 하겠다고 했다.

또한 기존의 불법유통 정보에 대해서도 검.경 합동단속을 지속적으로 실시하여 불법정보 유통업자를 근절시키겠다며 앞으로 금융회사와 정부는 고객의 피해가 최소화될 수 있도록 이번 대책을 통해 마련한 대응계획에 따라 신속하고 철저하게 대응할 수 있는 체계를 조속히 구축하겠다고 했다.

신제윤 금융위원장은 우선 금융회사별로 CEO 책임 하에 신속하고 세밀하게 대응할 수 있는 자체점검 사고대응 매뉴얼을 마련토록 하겠다며 사고인지 시점부터 고객통보, 피해예방 및 피해자 구제까지 전 단계에 걸쳐 금융회사와 금융 당국이 대응해야 될 사항에 대하여 비상 대응계획을 마련하여 만에 하나 사고가 발생할 경우에도 국민들이 느끼시는 불편과 피해를 최소화하는데 만전을 다하겠다고 했다.

신제윤 금융위원장은 향후 추진계획으로 법 개정이 필요하지 않은 대책들은 세부방안이 확정되는 대로 3월 말부터 차례차례 시행하겠다며 현재 국회에 계류 중인 관련 법률개정안은 최대한 상반기 중에 통과될 수 있도록 최선의 노력을 다하겠다고 했다.

또한 관계기관과 지속적인 단속을 통해 개인정보가 불법으로 수집.유통되는 시장을 철저하게 근절시켜 나가며 금융회사와 금융당국 모두 고객의 개인정보를 수익의 창출을 위한 영업수단으로 인식하고 소홀히 관리해 온 측면도 있었다며 이번 종합대책은 고객의 개인정보의 완벽한 보호가 금융 부문의 신뢰성과 안전성을 위한 핵심 자산이라는 인식을 기초로 근본적인 방안을 담는데 중점을 두었다고 했다.

신제윤 금융위원장은 이번 대책의 내용들이 완전히 시행되고 현장에서 제대로 정착될 수 있도록 하여 금융분야에서는 유사한 정보유출 사고가 다시는 발생하지 않도록 하겠다며 앞으로도 국민들의 소중한 개인 신용정보가 보다 안전하고 관리될 수 있도록 보호될 수 있도록 범정부적인 노력을 지속해 나가겠다고 했다.