금융기관 개인정보처리자, 기술적·관리적·물리적 조치 의무 강조돼

[보안뉴스 김경애] 금융기관에 설치된 CCTV는 과연 안전할까? 지난해 11월 금융기관내 ATM 현금 입출금기기 천정에 설치된 CCTV에 사용자의 계좌번호와 비밀번호가 그대로 녹화되는 문제가 지적되는 등 개인정보 이슈가 지속적으로 제기되고 있다.

도난방지와 범죄예방을 목적으로 사용되는 CCTV가 반대로 악용되거나 변조 또는 위조될 수 있는 우려가 높기 때문이다. 이로 인해 CCTV와 같은 영상정보가 효과적으로 관리·감독되고 있는지 주목할 필요가 있다.

금융기관에서의 CCTV는 원래 ATM기기 주변에서 범죄가 잇따라 발생하는 등 민원이 끊이지 않아 설치된 것이다. 이를테면 사용자가 현금입출금기기를 통해 돈을 찾지 않았음에도 불구하고 돈이 자동으로 빠져나갔다거나 현금입출금기기 옆에 지갑을 두고 왔는데 도난당했다는 민원을 해결하기 위한 범죄예방 및 감시가 주 목적이었다. 

그러나 이제는 무분별하게 수집된 개인정보에 대한 효과적인 관리·감독이 필요하다는 의견이 대두되고 있다. 수집된 개인정보가 제대로 관리·감독되지 않으면 내부적으로 범죄에 악용되거나 위·변조될 우려가 높기 때문이다.

그렇다면 금융기관의 영상정보에 대해 어떻게 관리하는 것이 효과적일까? 이와 관련 개인영상정보보호포럼의 조정욱 이사장이 ‘은행 ATM기 천정형 CCTV의 법적 문제점’에 대해 발표해 주목을 끌었다.

19일 국회의사당의 국회도서관 소회의실에서 열린 ‘개인정보 보호법 시행에 따른 금융기관 영상정보 보호관리 동향 정책세미나’에서 조 이사장은 “국민의 안전과 보안을 위해 설치된 CCTV에서 수집된 영상정보는 개인정보보호법에 따른 중요한 개인정보중 하나”라며, “ATM기기 천정에 설치된 CCTV에 사용자의 계좌번호와 비밀번호가 마킹되지 않고 그대로 저장되어 내부적으로 노출되고 있다”고 밝혔다.

그러면서 그는 “관계자의 말에 따르면 맘만 먹으면 언제나 계좌번호와 비밀번호 정보만으로 저장된 영상을 외부로 가져올 수 있어 범죄에 악용될 우려가 있다”고 말했다.

이를 위해 조 이사장은 내부관리자가 개인정보를 유출, 위·변조할 수 없도록 영상정보에 대한 내부통제 시스템이 필요하다고 강조했다. 내부관리에 대한 업무의 투명성이 확보되면 객관적인 안정성을 확보할 수 있다는 것이다.

개인정보보호법에 따른 금융기관의 내부통제시스템을 살펴보면 접근관리나 저장관리는 잘 이뤄지고 있으나 접근권한 등 내부 업무의 투명성은 제대로 이뤄지지 않다고 조 이사장은 지적했다.

개정된 정보통신망법 29조 안전조치의무에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 내부 관리계획을 수립하고, 시스템 및 운영자의 로그기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다고 규정하고 있다.

따라서 내부통제시스템의 투명성을 위해 내부영상정보의 접속기록을 남기고, 외부 적법한 곳에서 자료를 요청할 경우 전용단말기 등을 사용해 위·변조 등을 방지해야 한다고 제시했다.

또한, 금융기관에서 수집된 정보에 대해 제3자에게 위탁할 경우 철저한 관리감독이 필요하다고 조 이사장은 밝혔다. 수탁자를 교육하고, 안전하게 처리하는지 감독해야 한다는 것이다.

조 이사장은 “개인정보 처리 과정에서 법을 위반할 경우 수탁자에게 의무와 책임을 미룰 수 없는 법적인 책임이 있기 때문에 외부업체에 맡겼다는 것만으로는 면책이 될 수 없다”고 말했다.

아울러 그는 “수탁자의 경우 위탁한 은행이 내부통제 시스템을 제대로 갖추고 있는지 또는 제대로 관리·감독하고 있는지 점검해야 한다”고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>