하반기부터 금융사는 첫 금융거래 시에만 주민등록번호를 요구할 수 있다. 불법유출 정보를 이용한 금융사 과징금도 관련 매출의 3%까지 상향 조정했다.
기획재정부와 금융위원회, 안전행정부, 미래창조과학부, 방송통신위원회, 금융감독원은 10일 오전 정부서울청사에서 이런 내용을 담은 ‘금융 분야 개인정보 유출 재발방지 종합대책’을 발표했다.
최근 1억여건의 카드사 고객 정보 유출 등에 따른 후속 조치로 반복적 정보유출·해킹사고의 효과적 차단이 목적이다.
먼저 금융사가 최초 거래 때에만 주민번호를 수집하되 키패드 입력 방식을 도입해 주민번호 노출을 최소화하기로 했다. 이후 거래는 주민번호 대신 신분증 등을 이용하며 수집 주민번호는 암호화해 보관한다.
정보제공 동의서도 바뀐다. 필수사항 동의로 계약 체결이 이뤄지도록 하고 선택사항에 동의하지 않아도 서비스 제공을 거부할 수 없다. 고객 정보 수집은 이름, 주민번호, 주소, 연락처 등 필수 정보 6~10개로 제한한다.
수집된 정보는 원칙적으로 필요한 정보만을 제외하고 거래종료 이후 3개월 이내 파기해야 한다. 법령상 추가 보관 의무대상 정보를 제외한 거래정보는 5년 내 없애야 한다. 정보를 다시 이용할 때는 사전에 고객에게 반드시 알려야 한다.
처벌규정도 강화했다. 금융사가 불법 유출된 고객 정보를 활용하면 관련 매출의 1%에 대해 물리기로 했던 징벌적 과징금을 3%까지 늘리기로 했다. 정보 유출 관련 형벌은 10년 이하 징역 등 최고 수준으로 강화한다. 신용정보사는 불법 정보 유출에 관련되면 6개월 이내 영업정지나 과징금, 3년 내 재위반 시 허가가 취소된다.
무차별 문자메시지 전송을 통한 영업 행위도 금지된다. 전화나 이메일 비대면 모집·권유 행위도 개인정보 습득 경로 등을 안내해야 한다. 고객 권리 확대를 위해 정보 이용 현황 조회, 정보 제공 철회, 연락중지 청구, 정보보호 요청, 신용조회 중지 요청 등의 권리도 도입된다.
금융사 최고경영자와 이사회는 정보보호 현황을 보고 받고, 내용을 감독 당국에 제출해야 한다. 신용정보 관리·보호인을 임원으로 둬야 하며 일정 규모 이상 금융사 정보보호최고책임자(CISO)는 다른 IT 직위 겸직이 제한된다.
금융사는 해킹 등을 막기 위해 전산센터 내부·외부 망 분리를 올해까지 마무리해야 한다. 또금융보안 전담기구도 내년 출범하며 금융사의 전산보안 수준을 평가·공개하는 금융전산 보안인증제도 도입된다.
정부는 범정부 태스크포스를 구성해 통신·의료·공공 부문 등 사회 전반에 걸쳐 개인정보보호 관리 실태를 일제 점검하고 근본 개인정보보호를 위한 재발방지대책을 상반기 내놓을 계획이다.
현 부총리는 “이번 대책의 일환으로 징벌적 손해배상제나 배상명령제, 집단소송제를 검토하고 있다”며 “다만 기존 법 체계와 관계, 소비자 필요성 등 전반적 균형을 검토 단계에서 고려해야 하는 만큼 관련 부처와 협의가 필요하다”고 말했다.
유선일기자 ysi@etnews.com, 홍기범기자 kbhong@etnews.com