금융사가 불법 유출된 고객 정보를 이용하면 관련 매출의 최고 3% 과징금 폭탄을 맞게 된다. 정보유출 시에도 최고 50억원 과징금이 부과된다.
개인정보 유출 종합대책안은 기존 매출액 1%의 과징금을 3%로 상향하는데 초점을 맞췄다. 3배나 높아진 수치다.
형벌 수준과 과태료도 대폭 늘어난다. 개인정보 유출과 불법 활용 형벌 수준을 금융관련법 최고 수준으로 격상했다. 정보 유출자는 최장 10년 이하 징역 또는 5억원 이하(은행법) 벌금을 내야한다.
금융사 CEO와 임원 등 정보보호 책임자 ‘해임’도 가능해진다. 신용정보 관리·보호인과 CEO는 신용정보 보호와 관련된 의무를 부과하고 상응하는 제재를 부과할 계획이다. 신용정보회사는 불법정보 유출 관련시 영업정지(6개월 이내) 또는 이에 갈음하는 과징금을 부과하고 3년내 재위반시 허가 취소키로 했다.
보안 취약점 관리 강화를 위해 정보보호·전산보안 관련 책임자의 권한과 책임이 강화된다. 모든 금융사는 신용정보 관리·보호인을 ‘임원’으로 선임하고 정보보호최고책임자(CISO)는 타 관련 IT 직위 겸직이 전면 제한된다.
정보보호 책임자는 매년 정보보호 연차보고서를 CEO와 이사회, 감독당국에 제출해야 한다.
금융사 보안대책이 부실하면 과태료가 기존 600만원에서 5000만원으로, 영업정지는 3개월에서 6개월로 2배 이상 늘어난다. 사고 발생을 고의로 숨기면 가중 처벌 받는다.
정보 유출 사각지대로 불렸던 모집 업무 위탁관리시스템도 전면 손질한다. 금융사가 모집인에 정보를 제공할 때에는 최소 정보만을 암호화해야 한다. 정보를 유출해 활용한 모집인이 적발되면 계약 해지와 함께 5년간 재등록이 제한되며 해당 금융사도 과징금 등이 부과된다.
정보가 제공됐더라도 업무 목적 외에 사용을 금지하고, 모집인은 정부 활용·파기 관리대장을 작성해 해당 금융사에 제출해야 한다. 모집 행위가 완료되면 관련 정보는 즉각 폐기 처분토록 했다. 만일 모집인의 불법 정보 활용이 적발되면 연좌제 형태로 해당 금융사도 막대한 과징금을 물어야 한다. 아울러 불법 유통된 정보를 활용한 대출모집인 또한 전속 계약을 즉시 해지하고, 금융권에서 영업활동을 사실상 전면 금지토록 했다.
무차별적인 문자메시지(SMS), 이메일 등 비대면 영업도 엄격하게 통제한다.
이해선 금융위 중소서민금융국장은 “CEO와 임원뿐 아니라 신용정보회사, 개별 금융사 전체 대상으로 행정 제재를 대폭 상향시켰다”며 “신용정보법과 여전법 등을 조속히 개정해 신용정보 보호 의무를 다 할 수 있도록 하겠다”고 밝혔다.
특히 카드 개인정보 유출 가해자로 지목된 신용정보 회사에 대해서는 임직원 위탁업무 수행의 제반 업무 가이드라인을 만들고, 위반 시 강력한 제재를 가하는 데 주안점을 뒀다.
하지만 업계에서는 3% 징벌적 과징금제 도입에 대해 ‘눈가리고 아웅’하는 졸속 대책이라는 입장이다. 대책에 함정이 있다는 것이다. 정부가 내세운 3% 금액은 정보유출과 직접적으로 관련된 사업 매출의 3%다. 금융사 전체 매출의 3%가 아니기 때문에, 산정기준 자체가 주관적일 수밖에 없다고 주장했다.
한 금융사 고위 관계자는 “징벌금은 위반행위·불법 정보 등에 영향을 받는 관련 매출액 과실 정도에 따라 기준 금액을 산정한다”며 “그럴 경우 자산규모는 수조원인데, 대출모집 등 정보수집 업무 매출이 미미한 기관은 상대적으로 적은 과징금을 받게 된다”고 지적했다.
정치권도 징벌적 과징금제의 기준을 놓고 ‘형평성에 어긋난다’는 입장을 보여 임시국회에서 난관이 예상된다.
이혜훈 새누리당 최고위원은 “징벌적 과징금제도의 부과기준이 정보보안 매출 기준으로 산정된다는 것은 문제가 있다”며 “주관적 기준에 따라 과징금도 어떤 기업은 많이 부과되고, 어떤 기업은 적게 부과되는 아이러니한 상황이 발생한다”고 지적했다. 이어 “과징금액은 CEO의 주머니에서 나오는 게 아니라 회사 매출에서 나오기 때문에, 과연 이 돈이 정보유출 피해자 구제에 사용될지 의문”이라고 비판했다.
과징금을 아예 기금으로 만들거나 국고에 귀속해 피해자 구제에 사용되도록 명문화하는 방안도 검토해야 한다고 설명했다.
아울러 CISO 겸직 제한 등 일부 사후관리 대책은 농협 등 지난해 3·20 대란 당시 정부가 마련한 대책을 그대로 답습하는 수준에 머물렀다는 평가도 나왔다.
지난해 5월 금융당국은 최고정보보호책임자(CISO)와 최고 정보관리책임자(CIO) 겸직을 불허하는 대책을 내놓은 바 있다. 하지만 이 또한 흐지부지 됐다. 금융사 상당수가 여전히 CISO와 CIO가 겸직하거나 임원급이 아닌 팀장급으로 자리를 메운 곳도 비일비재하다.
외주용역에 대한 CEO와 CISO 사전 승인, 사후 관리 절차를 명확히 하는 관리 강화대책도 과거 보안전산강화대책을 그대로 가져왔다.
<개인정보 유출 관련 법령상 형량 수준 /자료: 금융위원회>
길재식기자 osolgil@etnews.com
