[시사뉴스 김승리 기자] KB국민·NH농협·롯데 등 카드 3사의 개인정보 대규모 유출사고는 금융당국의 업무태만과 부실한 관리·감독이 주요 원인 중 하나였던 것으로 28일 확인됐다.
감사원은 올해 초 경제정의실천시민연합 등 시민단체의 공익감사 청구에 따라 최근 5년간 20개 금융사에서 개인정보 1억1000여만건이 유출된 사고에 대한 금융당국의 검사·감독실태를 감사한 결과를 이날 공개했다.
감사원은 금융당국이 금융사의 과도한 개인정보 수집의 문제점을 알고도 이를 개선하려는 노력을 소홀히 했고, IT보안 관련 검사를 제대로 하지 않아 사고를 예방할 수 있는 기회를 여러 차례 상실했다고 판단했다.
◇금감원, 금융사 IT보안 검사 태만
카드 3사 개인정보 유출사건은 2012년 5월부터 지난해 12월까지 국민·농협·롯데카드 등의 '카드부정사용 방지시스템' 구축을 맡은 외부용역업체 직원이 개인정보 8844여만건을 불법으로 수집해 대출광고업자 등에게 유포한 사건이다.
이와 관련해 감사원은 금융감독원이 금융사의 IT부문 관련 보안규정이 제대로 지켜지고 있는지 철저히 검사해 개인정보 유출을 막아야 했지만 인력이나 기간 부족 등을 내세워 종합검사 기간 중에도 검사를 태만히 했다고 지적했다.
현행 전자금융감독규정은 금융사가 개인정보를 테스트용으로 사용할 경우 개인정보를 알아볼 수 없게 변환토록 하고 있다.
그러나 농협은 개인정보를 전산프로그램 테스트용으로 변환하지 않은채 용역업체에 제공했고 용역업체 PC에는 보안프로그램조차 설치돼 있지 않았다. 금감원은 이같은 사실을 알고도 검사를 실시하지 않았고 용업업체의 PC 533대 중 단 1대만 검사하고는 모든 PC에 보안프로그램이 설치된 것으로 판단했다.
그 결과 농협의 전산프로그램개발을 담당한 외주업체 직원은 원본 그대로의 개인정보 2426만여건을 13회에 걸쳐 빼돌릴 수 있었다.
이는 롯데카드의 경우에도 마찬가지여서 용역업체에게 실제 고객들의 개인정보가 제공됐지만 금감원은 담당자 면담과 서류 확인만으로 보안에 문제가 없다고 판단하고는 검사를 하지 않았다.
전자금융감독규정에 따라 만든 평가표를 금융사가 자체평가해 제출토록 하는 방식의 서면평가도 요식행위에 그칠 뿐이었다.
금감원은 2011년 4월 실시한 서면점검에서 4개 금융사가 접근권한 통제 등의 규정을 준수하지 않아 개인정보 유출사고가 발생했는데도 사실과 다르게 평가표를 작성한 사실을 확인했다. 증빙서류를 제대로 요구하지 않아 평가표가 사실과 다르게 작성되거나 왜곡되는 일이 빈번했기 때문이다.
그런데도 금감원은 어떠한 개선조치도 없이 기존 평가표 그대로 2013년 4월 국민카드 등 251개 금융회사에 대해 서면점검을 실시했다.
실제 감사원이 이번 감사기간 중 국민카드에서 작성한 평가표를 확인한 결과, 고객정보유출방지시스템 등 보안프로그램을 일부 PC에 설치하지 않았는데도 모든 PC에 설치한 것처럼 허위 작성한 사실을 확인했다.
◇소 잃고 외양간 고친 금융위
금융위원회는 금융사의 과도한 개인정보 수집을 수수방관하다 카드 3사의 유출사고가 발생한 후에야 뒤늦게 제도 개선에 나서며 '소 잃고 외양간 고치는' 모습을 보였다.
금융위는 2002년 4월 '금융지주회사법' 개정을 통해 개인의 사전 동의 없이도 개인정보를 영업상 목적으로 금융지주사가 계열사 등에 제공할 수 있도록 허용했다.
이후 개인정보의 중요성이 부각되면서 정부가 각 부처별로 소관법령을 개인정보보호법에 맞춰 정비토록 하자 금융위는 2012년 4월 다른 법령은 개인정보보호법에 맞게 개선하면서도 정작 금융지주회사법은 제외했다.
금융위는 올해 1월 카드 3사의 개인정보 유출사고가 터지고 나서야 금융지주그룹 내의 고객정보 제공과 이용을 제한하는 대책을 마련하고 금융지주회사법을 개정했다.
이보다 앞선 2012년 금융위는 62개 금융사를 대상으로 '금융권 개인정보 수집·이용실태 종합점검'을 실시, 금융사의 과도한 개인정보 수집 문제를 파악했다.
이에 대한 대책으로 금융위는 금융사의 개인정보 관련 각종 서식들을 개선키로 하면서도 막상 개선작업은 금융사의 자율에 맡기고 지도·감독엔 소홀했다. 그 결과 일부 은행은 거래신청서에 실제 생일과 급여일, 팩스번호까지 필수항목으로 분류하면서 여전히 개인정보를 과도하게 요구하고 있었다.
또 개인정보가 유출된 카드사들의 경우 회원탈퇴나 카드 유효기간 경과시 해당 개인정보는 파기하거나 별도로 보관해야 했지만 일반 회원정보와 함께 보관하다가 유출되는 사고를 예방하지 못했다.
◇감사원, 금감원의 KB금융지주 제재에는 제동
다만 감사원은 금감원이 임영록 KB금융지주 회장 등에 대한 제재 근거로 삼은 신용정보법 위반은 금융지주법상 특례조항과 충돌한다고 제동을 걸었다.
현행 신용정보법은 금융사가 영업양도나 분할, 합병으로 인해 사업과 관련된 개인정보를 넘길 경우 금융위의 승인을 받도록 하고 있다.
이와 관련해 금감원은 '국민카드가 은행에서 분사할 당시 은행의 고객정보를 가져가면서 승인을 받지 않은 것은 규정 위반'이라는 금융위의 유권해석을 징계의 근거로 삼고 있는데 감사원이 "금융지주회사법상 문제가 없다"고 지적한 것이다.
감사원에 따르면 금융지주회사법 제48조 2항은 '금융실명거래법 제4조 1항 및 신용정보법 제32·33조에도 불구하고 금융지주회사 등은 그에 속하는 자회사 등에 금융거래정보 및 개인신용정보를 제공할 수 있다'고 규정돼 있다.
감사원은 "(금감원이 제재 근거로 삼고 있는) 금융위의 유권해석은 정책적 관점에서 타당성이 없다고는 할 수 없다"면서도 "금융지주회사법에 명시적으로 '신용정보법에도 불구하고' 개인신용정보를 제공할 수 있도록 돼 있다"고 설명했다.
감사원은 이어 "금융지주회사법의 해당 규정이 신설된 이유가 금융지주사의 경영 효율성 제고를 위해 같은 지주사에 속하는 금융사 간에는 개인신용정보를 제공할 수 있게 하기 위한 것"이었다며 "해당 규정을 적용받는 국민은행 등 5개 금융지주사는 신용정보법에 따른 금융위 승인 대상이라고 보기 어렵다"고 판단했다.
대신 감사원은 2009년 10월 이후 영업양도 등으로 다른 금융사에 개인정보를 제공한 56개 금융사에 대해서는 이 가운데 49개 금융사가 금융위 승인을 받지 않고 있어 개인정보 오·남용이 우려된다고 지적했다.
감사원은 이번 감사결과와 관련해 금감원장에게 금융사에 대한 개인정보 보호 검사 업무를 태만히 한 직원 2명을 문책하도록 요구하는 등 총 10건의 감사결과를 시행했다.
