금융지주 내 계열사 간 데이터 공유를 허용한 금융지주회사법 논란이 확산되자 정부가 관련 법 개정을 위한 현황 파악에 착수했다. 모든 산업에서 불허되는 계열사 간 데이터 공유가 금융지주 계열사에만 허용돼 카드 정보유출이 은행 등 전 금융사로 확산됐다는 지적이다. 정부와 정치권에서 정보유출 책임자의 엄중 처벌도 강력히 요구했다. 금융 IT 전문가들은 유출된 은행·카드 개인정보의 2차 피해를 예방하는 방법은 카드 재발급 외에는 없다고 강조했다.
◇금융지주에만 보안 예외 적용 `불씨`
정부는 금융지주 내 계열사 간 데이터 공유를 허용하는 금융지주회사법 48조 2항의 개정 논의를 본격화했다. 금융지주 내 계열사 간 데이터 공유는 이번 카드 정보유출 사고가 은행과 보험사, 저축은행 등 계열 금융회사로 확산된 핵심 원인으로 지목됐다.
금융위원회 관계자는 “금융지주 내 계열사 간 데이터 공유를 허용한 금융지주회사법 개정 논의를 위해 현황 파악에 착수했다”며 “필요하다면 법 개정을 추진할 계획”이라고 말했다. 금융위는 현재 금융지주회사법에 따라 정보책임자 임명, 내부지침 운영 등 적법한 절차를 거쳤는지 조사를 진행 중이다. 이 관계자는 “이른 시일 내 조사를 완료하고 개정 논의를 시작할 것”이라고 덧붙였다.
금융지주에 한해 금융사 IT 아웃소싱 비율을 제한하는 전자금융 감독규정을 예외 적용토록 한 것도 논란이 됐다. 지난 2011년 정부는 금융회사의 아웃소싱 인력 비율을 50% 이하로 낮추는 것을 골자로 한 개정 전자금융 감독규정을 시행했지만, 금융지주 내 IT 계열사를 금융회사로 인정했다. 금융지주 계열 금융사들은 IT 계열사를 통해 아웃소싱을 해도 문제가 없게 된 셈이다.
금융권 관계자는 “금융지주 내 금융사는 대부분 IT 계열사를 통해 아웃소싱을 하고 있다”며 “시스템 운영 관리가 체계적으로 이뤄지지 않고 있다”고 전했다. 실제로 이번 정보유출 발단이 된 코리아크레딧뷰로(KCB)도 해당 금융회사보다 금융회사 시스템을 운영하는 IT 계열사 통해 위탁 운영업무를 수행했다.
◇정보유출 엄중처벌…카드 재발급이 최선
2차 피해 우려가 확산된 가운데 정보유출 책임자 처벌도 곳곳에서 강도 높게 요구됐다. 신제윤 금융위원회 위원장은 “책임자 처벌은 당연히 강력하게 할 것”이라며 “감독규정을 개정해서라도 관련 사안에 대해 CEO 제재 수위를 최고 한도로 높이겠다”고 말했다.
정홍원 국무총리도 “정확한 상황과 피해 등을 국민에게 알리고 재발방지책 마련과 책임자 처벌을 대폭 강화하라”고 지시했다. 여야 정치권도 카드·은행 고객 정보유출 관련해 책임자 처벌을 강화해야 한다고 한목소리를 냈다. 금융소비자단체는 이번 정보유출과 관련해 감사원에 국민감사를, 금감원에 국민검사를 각각 청구하기로 했다.
이번 정보유출로 감독당국과 검찰은 고객정보가 유통되기 전 검거돼 2차 피해는 없을 것이라고 밝혔다. 그러나 카드번호와 유효기간이 유출된 상황이어서 국민들이 안심하기는 쉽지 않다. 인터넷 쇼핑몰 등 다수의 전자상거래에서는 카드번호와 유효기간만 알면 거래가 가능하다.
따라서 2차 피해를 막기 위해 전자상거래 시 카드번호와 유효기간 외 다른 정보를 입력하도록 해야 한다는 주장이 제기됐다. 그러나 전자상거래 업계와 카드 이용자의 반발이 클 것으로 예상돼 적용이 쉽지 않다.
금융 IT 전문가는 “현실적으로 이번 고객 정보유출에 따른 2차 피해를 막는 방법은 막대한 비용이 들더라도 고객이 원하면 모두 재발급해주는 방법밖에 없다”고 설명했다.
신혜권기자 hkshin@etnews.com