[보안뉴스 김경애] 국내 3개 카드사 정보유출 사건과 관련해 금융위 신제윤 위원장이 22일 카드사 정보유출 재발방지책을 발표했다.

금융위는 금융회사는 꼭 필요한 정보만 수집해 철저히 관리하도록 하며, 제3자에 제공되는 정보는 엄격히 제한할 것이라고 밝혔다. 개인정보 유출 재발을 보다 ‘근본적’으로 방지하는 제도를 마련해 추진해 나갈 것이라는 점도 강조했다.

특히 이번 3개 카드사 정보유출의 경우, 해당 카드사에 법령상 부과 가능한 최고한도 수준(영업정지 3개월)의 제재를 2월 중에 추진할 것으로 보인다.

신제윤 위원장이 발표한 주요 대책은 △최소 정보 수집 △보관방식 대폭 개선 △과징금 도입 △CEO 해임·권고 등 중징계 △마케팅 활용 원칙적 금지 △거래종료시 별도 분리·관리 △내부통제·외부업체 관리 강화 등이다.

그러나 대책 발표가 끝나기가 무섭게 여기저기서 냉담한 반응을 나타내고 있다. 기존 대책과 별반 차이가 없다는 것. 그 가운데서도 법률적 측면에 있어서는 금융권이 일반 기업에 비해 현저히 부족한 수준이라는 지적이 일고 있다.  

먼저 개인정보보호와 관련해서는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보보호법’, ‘위치정보의 보호 및 이용 등에 관한 법률’, ‘전기통신사업법’ 등에 적용된다.

또한 개인정보보호 행정체계를 살펴보면 △안행부는 공공기관과 기타 민간분야 총괄 △방통위는 정보통신 분야 △금융위는 금융, 신용 분야 △보건복지부는 의료분야 △교육부는 교육분야 △기타로 노동, 법무 등으로 구분된다.

이를테면 안행부에서 민간기업에 적용하는 제재조치로, 개인정보 안전조치가 미흡할 경우 개인정보 유출시 5년 이하 징역 또는 5천만원 이하 벌금이 부과된다. 또한 원칙적으로 주민번호 수집을 금지하고 있으며, 주민번호에 대해서는 모두 암호화 조치를 하도록 하고 있다.

이번 카드사 정보유출과 관련해 금융위가 제시한 정책은 개인정보보호와 관련해 다른 민간기업에 적용되는 법령에 비해서도 턱없이 부족하다는 비판이 제기되고 있는 것이다.

이와 관련 법무법인 김경환 대표변호사는 “일반기업에 비해 못 미치는 수준”이라며 “과징금을 600만원에서 50억원으로 상향조정했지만 금융기관의 매출액 기준으로 할 경우 50억원이면 매우 미흡한 금액”이라고 지적했다.

또한 그는 “정통망법에는 과징금·과태료를 부과하고 있어 온라인 기업의 경우 모두 해당된다”며, “형사처벌의 경우에도 다른 법령에는 모두 포함돼 있어 기본적으로 CEO는 조사를 받게 돼 있지만, 금융법의 경우 관련 조항 자체가 다른 법에 비해 많지 않고, 근거도 약하다”고 말했다.  

덧붙여 그는 “기술적·관리적·물리적 조치에 있어 다른 일반기업보다 완화된 상태이기 때문에 암호화 조치를 비롯한 보다 다양한 측면에서 실속 있고 강화된 대책이 필요하다”고 강조했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>