금융사고 재발방지법 쏟아지는데…

[아시아경제 김대섭 기자] 고객정보 유출 사태 등 금융사고를 계기로 이를 예방하기 위한 다양한 개정법안이 쏟아지고 있다. 하지만 금융당국의 졸속 대처처럼 보여주기식 발의라는 우려의 목소리도 나온다. 시간이 걸리더라도 각계각층의 전문가들이 모여 근본적인 대처방법을 마련해야 한다는 것이다.

국회 정무위원회 소속 김기식 민주당 의원은 최근 '신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)', '금융위원회의 설치 등에 관한 법률' 등 두 건의 일부개정안을 대표발의했다. 신용정보의 수집과 보관, 활용 등에 대해 지금보다 더 엄격하고 까다롭게 통제하고 소비자에게 피해가 발생한 경우에는 배상을 받기 위한 문턱을 대폭 낮춰 보다 쉽게 피해배상을 받을 수 있도록 하자는 취지다. 2월 임시국회에서 우선 통과되도록 할 방침이다.

현행법상 분쟁 방지나 사실 확인 등의 목적으로 일정 기간 정보 보유를 의무화하는 경우는 있다. 하지만 수집하고 관리하는 정보의 폐기기한은 명시적으로 정하고 있지 않기 때문에 고객정보 유출 문제가 얼마든지 발생할 수 있다. 실제로 현행 '개인정보보호법'에서 보유 기간의 경과시 해당 개인정보를 파기하도록 정하고 있지만 그 보유기간이 얼마인지는 따로 규정하지 않고 있다. 때문에 금융회사와 같이 정보를 수집하는 곳에서 자의적으로 정한 기간만큼 보유할 수 있다.

이번에 발의한 신용정보법 개정안에서는 수집한 신용정보의 파기 기간을 명시했다. 다른 법에 따라 보존의무가 있는 경우를 제외하고는 개인정보보호법 상의 파기사유(수집 및 제공 목적 달성, 보유기간 경과) 외에 '수집일로부터 5년이 경과한 경우'에도 해당 정보를 일괄 폐기하고, 거래의 계속 등의 사유로 필요하다면 다시 개인의 동의를 받아 정보를 수집하도록 했다.

또 개정안은 개인정보 제공, 활용에 대한 동의 요건과 절차를 대폭 강화했다. 현행법은 일부 신용정보와 개인식별정보에 대해서만 사전에 서면 등으로 해당 개인의 동의를 받아 정보를 제공하도록 돼 있다. 이를 악용해 현재는 서면으로 한 번 포괄적인 동의를 받은 후 사실상 무제한적으로 정보를 제공하는 실정이다.

특히 정보 제공에 대해 동의를 받을 때 서비스 제공에 필수불가결한 '필수 동의사항'과 그 외 '선택 동의사항'을 구분해서 설명했다. 선택 동의사항은 동의하지 않아도 된다는 점을 반드시 알리도록 하는 한편, 선택 동의사항에 대한 정보제공 미동의를 이유로 서비스 제공을 거부할 수 없도록 명시했다.

이 외에도 신용정보 이용 및 제공 내역을 정보주체에게 문자메시지 등의 방법으로 즉시 통보하도록(현행은 정보주체가 내역 조회를 요구했을 때 비로소 조회 가능)했다. 명의도용 가능성이 있는 경우 신용조회 자체를 중지할 수 있도록 하는 내용도 담았다.

금융위원회의 설치 등에 관한 법률 일부개정안에는 소비자들에 대한 손쉬운 피해구제를 위해 금융소비자 배상명령제도, 소비자구제계획 명령제도에 관한 내용이 담겼다. 이들 제도가 도입되면 동양증권의 불완전판매 및 사기성 CP발행 사건이나 이번 정보유출 사태와 같이 대규모 금융사고가 발생한 경우, 소액 다수의 피해자들이 일일이 소송을 제기하지 않고도 금융당국의 조치에 따라 1차적인 배상을 신속하게 받을 수 있게 된다.

국회 정무위원회 김정훈 위원장(새누리당)도 최근 증가하고 있는 금융회사의 정보유출과 IT보안사고 등 전자적 침해사고에 따른 피해를 예방하기 위해 '전자금융거래법 일부개정법률안'을 지난 6일 발의했다.

현재 대형 금융회사 및 전자금융업자의 경우 정보화책임자가 정보보호최고책임자까지 겸직하고 있다. 또 금융기관 등에 대한 전자적 침해행위와 침해사고에 대응하기 위한 보안관제 기구가 지정돼 있지 않아 해킹 등 전자적 침해행위에 대한 대처능력이 부족한 실정이다. 특히 정보유출과 IT보안사고에 따른 금융회사 및 이용자의 피해금액에 비해 법적 제재 수준이 낮다.

이번 개정안을 통해 정보보호책임자의 겸직을 제한해 정보보호 및 IT보안의 책임성과 독립성을 확보토록 했다. 이에 대한 효율적 대응 및 원인분석, 대책마련 등의 전문적 업무를 담당하는'금융사이버안전센터'를 지정할 수 있는 근거가 마련됐다는 게 김 위원장의 설명이다.

개정안에 따르면 금융회사 및 전자금융업자의 정보보호 및 IT보안의 중요성을 감안해 접근 권한이 없는 자가 데이터 파괴ㆍ유출 등의 행위를 하거나 금융회사의 임직원 등이 전자금융거래정보를 누설, 제공, 업무상 목적 외 사용할 시 현행 징역 7년(5년)이하 또는 벌금 5000(3000)만원 이하에서 징역 10년 이하 또는 벌금 5억원 이하로 형벌 수준을 강화시켰다. IT보안사고에 대해 과태료(5000만원)를 부과하는 등 다양한 행정제재 수단을 도입해 정보보호 관련 사후제재 수준을 강화했다.

정치권의 이러한 잇따른 개정안 발의에 대해 금융권에서는 근본적인 대처방법부터 심사숙고해 마련해야 한다는 의견이다. 금융권 관계자는 "법률적인 개정안도 필요하지만 더 중요한 것은 금융사고를 예방하기 위한 금융회사들의 철저한 고객정보관리"라며 "더불어 각계각층의 전문가들이 심사숙고해 금융사고의 근본적인 예방이 가능한 대책들을 마련해 나가야 한다"고 말했다.

김대섭 기자 joas11@asiae.co.kr