계열사간 고객정보 무차별 공유로 유출피해 더 늘어
금융위원회와 금융감독원 등 당국이 금융사들의 고객정보 보호조치 소홀을 안일하게 눈감아 준 사실이 속속 드러나 조속한 개선이 요구된다.
20일 금융업계 및 전문가에 따르면 이번 사상초유의 금융기관 정보유출 사태는 법의 허점, 효율만 중시한 금융기관들의 의무 회피, 이를 방조한 금융당국의 방만한 감독이 초래한 사태라는 지적이 나오고 있다.
금융위는 이미 2002년 개정 금융지주회사법 제48조의2를 통해 금융기관 계열사의 고객정보 공유를 허용하면서 이번 사태를 초래했다는 비판을 받고 있다.
이 법 조항에 따라 계열사간 고객정보 공유가 방만하게 이뤄지면서 이번 카드 유출사태와 관련 없는 은행 고객들도 정보가 유출되는 등 피해가 일파만파로 확산되는 상황이다.
이런 상황에서 고객정보에 대한 암호화 조치를 금융사들이 하지 않아도 금융당국이 별다른 권고조차 없었다는 점이 추가로 확인된 것이다.
현행법으로는 특정정보만으로 개인을 식별할 수 있는 고유식별정보나 계좌번호ㆍ계좌비밀번호 등의 민감 정보에 대해서는 이용 및 처리를 제한하는 한편 암호화 조치를 해야 한다. 하지만 이같은 의무는 공공 금융기관에나 해당하고, 이번에 사고를 일으킨 카드사를 포함한 민간 금융기관은 `위험도 평가' 및 `영향평가' 등을 통해 암호화 여부를 선택할 수 있다.
2011년 개인정보보호법이 발효되면서 2012년 말까지 민간 금융기관은 위험도 평가를 자체적으로 실시해 암호화 여부를 결정했어야 했는데, 대다수 금융기관들은 암호화를 하지 않기로 결론을 내렸다.
금융권 관계자는 "금융기관이 이를 이행하려면 최소한 금융네트워크 DMZ(중립지역)와 외부망 사이의 고유식별정보 전송 및 저장에 대해 암호화를 해야 하는데, 업계 1위인 국민은행의 경우 그 비용이 최소 1000억원은 달할 것으로 예상됐었다. 타 은행이나 금융사도 수백억원의 비용이 필요했다"고 설명했다.
이 관계자는 "당시 금융 경영진들에게는 암호화라는 것이 있을지 없을지 모를 정보유출 사태를 대비한 `보험'정도로 여겨졌었다. 이런 보험에 1000억원을 투입하겠다고 결정한 경영진이 있을 리 만무했다"고 덧붙였다.
금융기관들의 수익성을 우선한 안일한 판단에 대해 금융위는 어떤 권고나 주의조치도 내리지 않은 것으로 알려졌다.
특히 금융위는 오는 2100년이면 전면개편을 해야 하는 주민등록번호 체계에 대한 금융기관의 설명을 그대로 받아들였다. 주민번호 전면개편에 따른 엄청난 비용이 곧 투입될 텐데, 불과 30∼50년 더 쓰자고 암호화라는 비용 투자를 하면서 금융사의 수익성 악화를 초래해야겠냐는 것이 금융기관들의 해명이었다.
이와 관련 금융정책 전문가는 "금융당국은 은행이나 카드사의 수익성 강화를 위해 존재하는 곳이 아니라 금융산업의 투명성과 공정성을 확보하고 국민의 재산을 금융기관이 잘 지킬 수 있도록 관리감독하는 기관"이라며 "그럼에도 금융위는 `수익성 저하가 국민에게 타격을 줄 수 있다'는 금융사들의 말을 안일하게 믿고선 고객 보호는 다소 뒤로 미뤄도 된다는 금융사 결정에 힘을 실어주고 말았다"고 꼬집었다.
조창용 기자
creator20@dtoday.co.kr