정부 합동으로 10일 발표한 ‘금융분야 개인정보 유출 재발방지 종합대책’에는 올해 말까지 금융사가 이행해야 할 방안만 무려 37개가 담겨 있다.
고객 정보보호에 필요한 수집, 보관 방법은 물론이고 금융사 책임 소재를 규정한 사후관리 방안까지 수십년간 시행되지 못한 ‘숙원 과제’를 명문화했다는 평가다. 하지만 양날의 검처럼 규제일변도의 현실 괴리 ‘미봉책’이라는 우려도 제기됐다.
평가는 둘째 치고 방대한 양의 실행대책을 연내 실현 가능할 것인지가 핵심 쟁점으로 떠올랐다. 관련법 개정 사항만 수십 개에 달해 본격 시행을 하기에는 다소 시일이 걸릴 전망이다.
이번 대책에서 눈에 띄는 점은 크게 두 가지다.
우선 금융소비자 권한을 대폭 확대한 ‘자기정보결정권’을 최초로 명문화했다. 정보를 자산처럼 고객이 활용할 권리, 폐기해야 할 권리까지 돌려주겠다는 취지다. 자기정보결정권은 고객이 금융회사와 계약을 체결한 이후부터 거래가 끝난 이후까지 전 과정에서 자신의 정보가 제대로 보호되고 있는지를 확인할 수 있다.
명의 도용이 의심되는 경우 일정 기간(1일) 신용 조회 중지도 요청할 수 있다. 복잡하고 간과하기 쉬운 정보 수집 항목도 필수항목과 선택항목으로 구분, 최소화했다. 결혼기념일이나 종교, 배우자와 가족 정보 등은 원칙적으로 수집이 금지되고, 선택 항목에 동의하지 않아도 불이익은 받지 않는다.
제2 정보유출 뇌관으로 지목된 판매시점관리시스템(POS) 단말기 전환책도 눈에 띈다. 수천억원에 달하는 IC 단말기 교체 비용에 대한 답을 내진 못했지만, IC결제 우선승인제 등 단기 대책을 수립했다는 의미가 있다.
정보 유출 위험성이 상대적으로 높은 POS 단말기를 많이 사용하는 일반·대형가맹점에 대해 연말까지 우선 IC 단말기로 전환하도록 유도한다. 영세 가맹점은 사회공헌기금이나 소멸 포인트 등을 조성해 교체가 지원된다.
방대한 계획이 부처 합동으로 마련됐지만 이를 즉시 시행하기엔 녹록지 않다. 아울러 이번 종합대책이 금융시장에 국한됐다는 것 또한 문제로 지적됐다.
시장에서는 종합대책에 개인정보보호 전반 내용이 나올 것으로 예상했다. 금융사뿐 아니라 통신, 유통, 병원 등 개인정보가 다뤄지는 모든 영역이 포함될 것으로 예상됐다.
하지만 방안은 금융사에 국한됐고, 유관 법 개정도 금융 관련 틀에서만 이뤄졌다. 지난 1월에 발표한 종합대책 중 금융소비자의 자기정보결정권 구현과 IC전환 대책의 후속조치 등만이 새롭게 포함됐다.
이번에 마련된 대책이 언제부터 시행될 수 있을지 미지수다. 당장 신용정보법 등 관련법을 개정해야 하지만 4월 임시국회의 문턱을 넘기는 쉽지 않을 전망이다. 정치권 이해관계가 선거에만 집중되면서 관련 법안도 통과할 가능성이 많지 않다는 게 금융계 시각이다.
여야는 2월 임시국회에서 카드사 개인정보 유출 사태를 계기로 신용정보법·전자금융거래법 개정을 추진했지만 신용정보 유출 피해 시 집단소송이나 징벌적 손해배상을 가능하게 하는 법 개정안을 두고 대립하며 접점을 찾지 못한 상황이다.
4월 임시국회는 올해 최대 정치이벤트인 6·4 지방선거를 앞둔 마지막 국회라 선거분위기를 앞두고 자칫 여야가 대립하면 법안이 장기간 표류할 수 있다는 지적도 나왔다.
길재식기자 osolgil@etnews.com
