10일 발표한 ‘개인정보 유출 방지 종합대책’이 부실하다는 비판이 잇따르자 금융위원회는 12일 ‘금융 분야 개인정보 유출 재발방지 종합대책 10문 10답’이라는 별도 자료를 배포했다. 논란이 된 항목 하나하나에 설명을 달았으나 여전히 시원스런 답이 없어 ‘긁어 부스럼’이라는 비판이 제기됐다.
금융위는 과징금 부과기준이 전체 매출이 아닌 정보보안 매출의 3%가 주관적이라는 지적에 “불법정보 활용 또는 정보유출 관련 매출액은 영업매출액뿐 아니라 마케팅 활용정도, 정보 보유·활용 조직 등을 감안해 간접적으로 영향받는 영업 부문 매출액도 모두 포함된다”고 밝혔다.
수백만건 개인정보가 불법적으로 활용되면 해당 금융사 개인영업부문 매출 대부분이 포함될 수 있다고 덧붙였다. 개인영업부문 매출액이 10조원 수준이면 3% 부과시 최대 3000억원까지 부과할 수 있다는 설명이다.
업계는 “간접적 영향이라는 기준 역시 모호하고 여러 업무가 맞물린 보안사고를 물리적으로 쪼개 책임을 가릴 수 없다. 명문화된 규정도 없는 상황에서 과징금 수준만 상향하겠다는 말은 앞뒤가 맞지 않는다”고 비판했다.
대책이 재탕 삼탕 수준이라는 비판도 금융위는 “대책의 기본 방향을 구체화했기 때문에 재탕이 아니다”며 “행정부 차원에서 즉시 반영 가능한 세부 실천방안과 시스템 구축방안을 포함시켰다”고 해명했다. 확실히 책임을 져야하는 부분은 법령에 반영하고, 금융사 자체 관리 부분에도 자율성을 부여했다고 강조했다.
그러면서 범정부 TF에서 통신, 의료, 공공부문 등 사회 전반에 걸친 ‘개인정보 보호 종합대책’을 상반기 내 마련하겠다고 밝혔다. 손해배상제, 배상명령제 등에 대해서는 안행부, 법무부, 방통위 등 관계부처와 다각 검토 중이라고 덧붙였다.
금융사가 개인정보를 5년이나 보관해야 하는지에 대해서는 “상법상 상거래채권 소멸시효(5년) 등을 고려할 때 소멸시효 기간 동안 거래와 관련한 분쟁〃소송 등이 발생할 수 있어 본인확인에 필요한 정보(이름, 연락처 등)와 거래정보(대출·보험금 지급 등)에 한정해 5년간 보관하도록 했다”고 밝혔다.
하지만 4월 임시국회에서 유관 법안이 통과되지 않으면 30개가 넘는 실행방안은 기약 없이 표류할 가능성이 높다는 지적에는 명확한 답을 내놓지 못했다. 피해자 보상 대책과 주민번호 대안책을 마련하지 못했다는 지적에도 반박하지 못했다.
금융사 고위 관계자는 “음주, 흡연을 많이 하면 건강이 나빠지니 어떻게 관리하라는 처방은 없고 병이 나면 바로 수술해버리겠다는 논리와 다를 바 없다”며 “업계를 위한 친절한 부연설명이 아니라 책임회피성 해명으로 느껴진다”고 비판했다.
<금융 분야 개인정보 유출 재발방지 종합대책 10문 10답(자료: 금융위원회)>
길재식기자 osolgil@etnews.com
