• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

금융당국, 개인정보 유출 재발방지 종합대책 점검 2014.06.27

시행과정 면밀히 점검하고 추가적 보완 사항 검토·진행


[보안뉴스 김태형] 금융위·금감원은 27일 유관 금융협회 등과 함께 3월 10일 발표한 ‘금융분야 개인정보 유출 재발방지 종합대책’ 후속조치 이행계획 점검을 위한 4차 회의를 개최했다.


이날 회의에서는 종합대책 발표 이후 올해 상반기 중 추진된 종합대책 이행현황을 주요 과제별로 논의·점검했다. 주요 점검내용을 보면, 금감원은 고객정보를 보유·활용중인 총 3,050개의 금융회사 및 유관기관(협회 등)의 고객정보보호실태를 지난 1월부터 점검했으며 금융회사 자체점검 결과를 토대로 금융업권별 고객정보보호실태 및 취약요인을 분석했다.

내부통제 부문에서는 고객정보 과다 조회자에 대한 점검기준 부재 및 점검 미실시, 고객정보 외부전송시 통제절차 미흡, 형식적인 정보보안 점검 및 교육, 내부직원 및 외주업체간 직무분리 부재 등이 미흡했다.


또 IT 부문에서는 퇴직자·인사이동자 등에 대한 사용자권한 삭제조치 미흡, 고객정보 집속기록 보관 및 관리 허술, 보안프로그램 설치 및 업데이트 소홀, 전산실 등 주요시설의 출입자 감시 및 관리소홀 등이 미흡했다.


특히 이번 점검에서 56개 기관에 대해서는 지난 5월부터 현장점검을 추가 실시해 고객정보보호 수준을 직접 평가하고 자체점검 결과 고객정보관리가 취약하거나 고객정보량이 많은 금융회사 등에 대해서는 6~7월중 정보보호책임자 등을 대상으로 각 금융업권별로 실태점검 분석결과에 대한 설명회 개최를 통해 정보보호 관리기반을 강화할 수 있도록 지도해 나갈 방침이다.


또한, 금번 실태점검 분석결과 추가적인 제도보완 사항이 있는지를 면밀히 검토하여 필요시 반영할 계획이다.


금융당국이 마련한 개인정보 파기관련 가이드라인을 보면, 지난 5월 30일 금융회사의 불필요한 정보보유를 제한하고 정보의 안전한 보관을 위해 개인정보 파기 및 보관 관련 금융권 공통기준(안)을 마련했다.


이는 거래종료 후 필수정보 이외에는 즉시(3개월 이내) 삭제하고 정보이용을 제한, 거래종료 후 5년이 경과한 정보는 원칙적 모두 파기하도록 했으며 거래종료 후 5년이 경과한 이후에도 불가피하게 보유하는 경우에는 현재 거래중인 고객정보와 분리해 엄격히 보관하도록 했다. 또 금융회사가 제3자에 제공한 정보에 대해 파기대책 마련을 의무화했다.


또 지난 6월 업권별 세부기준이 마련된 이후 시행하되, 마케팅 자료 등 금융거래와 무관한 자료는 즉시 삭제하고 거래종료 후 5년이 경과한 정보의 파기는 현재 국회 계류 중인 신용정보법 개정안 시행 이후 추진된다.


아울러 개인정보 입수서식 및 제3자 제공 동의서를 개선했다. 지난 5월 30일 금융회사가 최소한의 정보만 수집하고 고객도 정보제공 내용을 명확히 인지할 수 있도록 금융권 동의서 양식 공통기준(안)을 마련한 것.


그리고 금융협회와 금감원간 협의를 통해 각 금융업권별 표준동의서 양식에 대한 세부기준을 마련했으며 동의서 개편과 관련한 시스템 구축기간 등을 고려해 카드사 등 우선적으로 가능한 금융업권부터 9월부터 단계적으로 시행한다는 계획이다.


금융당국은 또 주민번호 과다노출 관행도 개선했다. 특히 주민번호의 노출을 최소화하고 보관은 엄격히 하는 금융권 공통기준을 지난 5월 30일 마련해 원칙적으로 각종 금융거래 서식에서 주민번호 기재란을 삭제하고 안전한 주민번호 수집방법을 사용하도록 했다.


또 비대면 거래 시 본인확인은 원칙적으로 주민번호를 제외한 여타의 고객정보를 활용(이름, 생년월일, 전화번호, 주소 등) 하도록 했다.

금융협회와 금감원간 협의를 통해 각 금융업권별 세부기준을 마련했으며 관련 전산시스템 개발을 통해 12월중 가능한 금융업권부터 단계적으로 시범 시행할 계획이다.


개인 신용정보의 무단도용 등에 따른 피해(대출사기, 카드 무단발급 등)를 예방할 수 있는 시스템도 마련했다. 이는 명의도용 피해방지 등을 위해 고객이 신용조회회사에 요청하는 경우, 대출, 카드발급 등을 위한 신용조회를 일정기간(30일) 중지할 수 있다. 이는 7월중 시스템 구축을 완료해 서비스를 제공할 계획이다.


또 카드결제정보의 보안성 강화를 위해 3월부터 카드사, VAN사 등 관련업계와 공동으로 POS단말기 보안표준을 마련했으며 영세가맹점의 단말기(약 65만대) 전환을 위해 카드사에서 총 1천억원의 전환기금 조성방안을 마련했고 2015년말까지 교체 완료할 예정이다.


또 가맹점의 동참을 위해 IC결제가 가능한 가맹점에 ‘신용카드 안심결제 가맹점‘ 스티커 부착 등 대국민 홍보 방안을 마련·추진할 계획이다.


아울러 이번 점검에서 금융권 사이버 안전대책 이행현황 중간점검도 진행됐다. 금융당국은 내부 및 외주업체 통제 강화를 위해서 IT외부주문 및 내부통제를 강화하고 해킹 등 침해정보 공유체계 확립 등을 위한 ‘전자금융감독규정 개정안’을 7월초 마련한다.


그리고 금융회사의 스마트폰 앱을 통한 금융서비스의 안전성 확보를 위해 ‘스마트폰 전자금융서비스 보안 가이드’를 7월 중 배포할 계획이다. 이처럼 금융당국은 앞으로도 이미 마련한 대책이 계획대로 제대로 추진되는지 세부 시행과정을 면밀히 점검하고 이 과정에서 추가적 보완 사항이 있는지를 검토해 반영해 나가도록 할 방침이다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>