감사원 "금융당국 업무 태만으로 신용카드 정보유출 사태 못 막아"

[아시아경제 나주석 기자] 금융당국이 신용카드 대량정보 유출 사태를 막을 수 있는 기회가 여러 차례 있었지만 업무 태만 등으로 개인정보 유출을 막을 수 있었던 골든타임을 놓쳐버린 사실이 감사원 감사결과를 통해 확인됐다.

감사원은 카드사의 개인정보 유출 사고와 관련하여 경제정의실천시민연합 등 시민단체가 청구한 공익감사 결과 이같은 사실이 드러났다고 27일 밝혔다.

지난 1월 카드회사 3사가 8844만여건의 개인정보를 유출당한 것을 비롯하여 최근 5년간 20개 금융회사는 개인정보 1억1000여만건이 유출됐다. 경실련 등은 금융위원회와 금융감독원이 금융사들의 고객정보 유출 가능성을 충분히 예측할 수 있었음에도 제대로 감독하지 않아 이같은 일들이 발생했다고 주장하며 공익감사를 요청했다. 이에 따라 올해 3월12일부터 4월11일까지 한 달간 실시된 감사원의 감사결과 시민단체들의 주장은 대부분 사실로 확인됐다.

개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호하고 개인정보 자기결정권 보장하기 위해 '개인정보보호법'이 2011년 제정되면서 정부는 2012년 1월 '개인정보 보호 기본계획'을 마련했다. 이에 따라 금융위는 2012년 4월 '개인정보 보호 시행계획'을 만들어 시행했다. 하지만 이 시행계획에는 개인정보를 개인의 사전 동의 없이 금융 지주회사 및 자회사들 간에 영업상 이용 목적으로 제공할 수 있도록 규정하고 있는 ‘금융지주회사법’에 대한 정비계획은 빠졌다. 감독 당국의 법령·제도 개선이 소홀했던 것이다.

그 결과 '금융지주회사법' 제48조의2 규정에 따라 개인신용정보가 금융지주회사 등에게 제공된 정보주체의 개인정보 보호와 권리 보장 등이 미흡했다는 것이 감사원의 지적이다. 신용카드 사고 이후 금융당국은 뒤늦게 이같은 문제를 인식하고 '금융지주회사법' 제48조의2의 '영업상 이용'을 '내부 경영관리상'이용토록 고치고 고객정보 암호와 분리 보관 등에 관한 규정도 추가했다.

또한 금융위는 2012년 4월부터 11월까지 '금융권 개인정보 수집·이용실태 종합점검'을 통해 금융회사들이 과도하게 개인정보를 수집하는 등의 문제를 파악했다. 이에 따라 금융위는 2012년 12월 '금융회사 개인정보 수집?활용 개선방안'을 마련했다. 하지만 금융위는 이같인 방안을 시행하지 않은 채 금융회사에게 자율적으로 개선하도록 한 것으로 드러났다. 그리고는 문제가 터진 뒤인 올해 3월10일에야 지난해 만들었던 개선방안이 포함된 '금융분야 개인정보 유출 재발방지 종합대책'을 내놨다.

금감원도 예외는 아니었다. 금감원은 4개 금융회사를 상대로 2010년 12월부터 2013년 7월까지 개인정보 보호에 대한 검사를 시행했다. 금감원은 이들 금융사의 개인정보 보호의 적정성 등을 중점 검사하기로 해놓고는 검사인력과 기간이 부족하다는 이유로 검사를 제대로 하지 않은 것으로 드러났다. 그 결과 검사 대상 4개 금융회사에서는 2011년 3월부터 2013년 12월 사이에 개인정보 4569만7000여건이 유출됐다.

나주석 기자 gonggam@asiae.co.kr