정부는 2014 년 3월 10일 '금융분야 개인정보 유출 재발방지 종합대책' 을 내놓았습니다. 이는 본래 지난 1월 22일 있었던 '금융회사 고객정보 유출 재발방지 대책' 의 후속 대책인데 최근 대규모 개인 정보 유출 사건들이 연이어 터지면서 발표시기가 약 2 주 정도 늦춰진 것이라고 합니다. 몇가지 추가 대책을 더 담기 위해서 였던 것 같은데 일단 외형만 보면 확실히 이전 같은 솜방망이 처벌이 아니라 상당히 강도 높은 처벌 규정이 들어갔습니다.
우선 이제 한국이 만들고 세계가 함께 쓰는 한류 공공재인 주민등록 번호에 대해서는 금융사가 최초 거래할 때만 수집할 수 있게 됩니다. 최초 거래시에는 인증 센터와 연결된 전자 단말기에 키보드로 입력하는 방식이며 이후에는 암호화 되어 저장해야만 합니다. 향후 주민등록번호를 통해서 개인을 식별하는 일은 금지되며 신분증이나 기타 다른 수단이 거래시 인증 수단으로 사용되게 된다고 합니다. 그리고 이를 유출했을 경우 다른 개인 정보보다 가중 처벌을 받게 됩니다.
고객 정보 수집 역시 필수 정보 6 - 10 개 정도로 범위가 제한 됩니다. 필수 정보에는 이름, 주민번호, 주소, 연락처, 직업, 국적 등이 들어가며 사업 영역에 따라서 기타 정보가 들어갈 수 있습니다. (예를 들어 의료 관련 보험이라면 건강 정보) 그러나 그 이외의 고향이나 결혼 여부등의 정보는 필수 정보로 수집할 수 없으며 정보 제공 여부를 고객이 정할 수 있게 됩니다.
선택 정보의 경우 이를 거절한다고 해서 서비스를 거부할 수 없도록 되어 있습니다. 서비스 제공자는 필수 정보와 선택 정보를 다른 페이지에서 쉽게 확인할 수 있도록 해야 합니다. 또 지금과는 달리 제 3 자에 제공되는 정보의 경우에도 필수와 선택을 구분해서 포괄적으로 동의를 받는 일을 금지하도록 했습니다.
일단 개인 정보 제공에 동의하면 이후에는 영원토록 금융사의 재산이 되었던 것도 개선될 예정이라고 합니다. 기본적으로 금융 거래 종료 이후 3 개월 이내로 개인 정보는 폐기해야만 하며 모든 보관 정보 역시 일부 법령에서 정하는 예외를 제외하면 5 년 이내로 폐기해야만 합니다.
또 거래 기간 동안에도 고객의 권리를 보장하기 위해서 정보 이용 현황 조회권, 정보 제공 철회권, 연락중지 청구권, 정보보호 요청권, 신용조회 중지 요청권 등이 도입되어 중간에도 정보 제공을 철회할 수 있도록 했습니다. 특히 수신 거부 의사를 밝히면 영업 관련 전화를 받지 않을 수 있은 권리 (Do not call) 를 보장해야 하는 것도 새롭게 추가된 내용입니다.
앞으로는 금융사의 SMS 관련 영업도 크게 제약을 받을 예정입니다. 영업 목적으로 문자 메세지를 보내는 것을 금지하고 전화나 이메일의 경우 정보 제공에 동의한 경우에만 제한적으로 허용할 방침이라고 정부는 밝혔습니다.
처벌 역시 강화되어 개인 정보를 유출한 금융사는 매출의 1% 가 아닌 3% 까지 징벌적 과징금을 매길 수 있도록 했으며 개인 정보 유출이 없더라도 금융사가 개인 정보 보안을 소홀이할 경우 매길 수 있는 과태료도 5000 만원으로 상향했습니다. 또 불법 개인정보 유출 사고가 3 년내로 재발하는 금융사의 경우에는 해당 금융회사의 허가를 취소하기로 하는 등 처벌 조항이 대폭 강화되었습니다.
불법 개인 정보를 사용해 영업하는 경우에도 처벌이 대폭 강화됩니다. 매출의 최대 3% 의 징벌적 과징금 부여는 물론 첫번째 적발시 6 개월 이하의 영업 정지, 3 년내 2회 적발시 아예 허가가 취소될 것이라고 합니다. 또 불법 정보를 활용한 모집인은 5 년간 동일 업종에서 일하지 못하도록 하는 등 불법 개인 정보를 이용한 영업에 대해서 철퇴를 내리겠다는 계획입니다.
일단 마지막에 보는 것과 같은 불법 개인 정보 사용시 가중 처벌은 매우 유용한 조치가 될 가능성이 있다고 봅니다. 이런 불법 개인 정보 유출이 끊이지 않는 가장 중요한 이유는 어딘가 수요가 있기 때문입니다. 따라서 불법으로 유출시킨 개인 정보를 사용하는 업자에 대해서 강력한 단속과 징계를 가한다면 불법 정보 유출을 100% 는 아니더라도 어느 정도는 막을 수 있을 것으로 보입니다.
다만 정부의 대책은 국회의 동의를 얻어 현행 법률을 대폭 손질해야 한다는 제한점이 있습니다. 여야가 쉽게 합의해서 통과되면 모르지만 올해 역시 여야가 극한대립을 하게 되면 쉽게 법령이 통과되지 못할 가능성도 있습니다. 또 이번 조치는 금융사만 초점을 맞추고 있는데 사실 개인 정보 유출 피해가 금융 기관만의 문제가 아닌 만큼 이를 신중하게 확대하는 것도 생각해야 할 것 같습니다.
이렇게 개인 정보 보호의 중요성이 커지는 만큼 앞으로 기업 및 공공 기관, 병원 등에서 이 부분에 더 신경을 써야 할 것입니다. 개인 정보를 취급하는 각 기업과 기관은 형식적인 보안 책임자를 선정하는 데서 벗어나 앞으로는 겸직이 금지되는 보안 전문가를 의무적으로 임명해야 하며 CEO 는 매년 매분기 보안 상태를 보고 받아 기록으로 남기는 법도 같이 추진 중에 있습니다.
기업 경영진과 개인 정보 취급 기관의 경영진들은 이와 같은 변화에 빠르게 대응해야 최근 엄청난 피해를 본 다른 기업들의 전철을 밟지 않을 수 있어야 할 것 같습니다. 최근 큰 피해를 본 카드사나 통신사가 최근에 정보가 유출된 것이 아니라 그 전에 유출된 것이 나중에 발견된 것이라는 점을 생각하면 지금 법이 바뀌기 전부터 빠르게 대응할 필요가 있다는 것이죠.
참고
댓글
댓글 쓰기