감사원은 카드사의 개인정보 유출 사고와 관련하여 경제정의실천시민연합 등 시민단체가 청구한 공익감사 결과 이같은 사실이 드러났다고 27일 밝혔다.
개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호하고 개인정보 자기결정권 보장하기 위해 '개인정보보호법'이 2011년 제정되면서 정부는 2012년 1월 '개인정보 보호 기본계획'을 마련했다. 이에 따라 금융위는 2012년 4월 '개인정보 보호 시행계획'을 만들어 시행했다. 하지만 이 시행계획에는 개인정보를 개인의 사전 동의 없이 금융 지주회사 및 자회사들 간에 영업상 이용 목적으로 제공할 수 있도록 규정하고 있는 ‘금융지주회사법’에 대한 정비계획은 빠졌다. 감독 당국의 법령·제도 개선이 소홀했던 것이다.
그 결과 '금융지주회사법' 제48조의2 규정에 따라 개인신용정보가 금융지주회사 등에게 제공된 정보주체의 개인정보 보호와 권리 보장 등이 미흡했다는 것이 감사원의 지적이다. 신용카드 사고 이후 금융당국은 뒤늦게 이같은 문제를 인식하고 '금융지주회사법' 제48조의2의 '영업상 이용'을 '내부 경영관리상'이용토록 고치고 고객정보 암호와 분리 보관 등에 관한 규정도 추가했다.
금감원도 예외는 아니었다. 금감원은 4개 금융회사를 상대로 2010년 12월부터 2013년 7월까지 개인정보 보호에 대한 검사를 시행했다. 금감원은 이들 금융사의 개인정보 보호의 적정성 등을 중점 검사하기로 해놓고는 검사인력과 기간이 부족하다는 이유로 검사를 제대로 하지 않은 것으로 드러났다. 그 결과 검사 대상 4개 금융회사에서는 2011년 3월부터 2013년 12월 사이에 개인정보 4569만7000여건이 유출됐다.
나주석 기자 gonggam@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>