개인정보 유출, 지금 상태론 또 터진다

[뉴스분석] 금융권 반복되는 사고, 왜

수익으로 평가받는 효율성 우선탓
보안은 ‘비용’으로만 인식해 찬밥
“정보 유출땐 징벌적 벌금 물려야”

케이비(KB)·엔에이치(NH)·롯데 등 3개 신용카드사의 정보 유출 피해자의 본인 확인이 시작된 17일 이후 고객들의 불안감이 높아지고 있다. 성명·주민번호·집주소 등 식별정보는 물론 연소득·신용등급·결제일 등 신용정보까지 유출된 탓에 ‘2차 피해’ 우려의 목소리가 높다.

3개 카드사는 물론 금융당국도 나서 2차 피해 방지 방안과 근본적인 사고 재발 방지 방안을 모색하고 있다. 문제는 이들의 대응이 전혀 미덥지 못하다는 데 있다. 이런 판단은 2011년 현대캐피탈의 정보 유출 사고 이후 나온 각종 대책도 이번 사태를 막지 못했다는 경험칙 때문만은 아니다. 전문가들은 “기울어진 ‘운동장’을 바로 세우지 않으면 사고 재발을 막을 수 없다”고 말한다. 금융회사는 ‘효율’과 ‘안정’이라는 두 마리 토끼를 잡아야 한다. 반복되는 개인정보 사고의 근본 원인은 금융회사와 금융당국 내부에서 안정성이란 가치가 효율성이란 가치에 밀려나 있는 현실에 있다.

‘효율성 우선주의’는 제도 전반에 녹아 있다. 대표적인 예가 금융지주회사법이다. 이 법에 따라 금융지주회사들은 개별 자회사가 확보한 고객 정보를 다른 자회사에서 마음껏 쓸 수 있다. 보험업법 역시 수집된 고객 정보를 활용해 별도의 동의 없이 해당 고객에게 다른 금융상품을 영업할 수 있도록 열어놓고 있다. 신용정보보호법 역시 코리아크레딧뷰로(KCB)와 같은 신용정보회사들이 여러 금융회사에서 받은 개인정보를 다른 금융회사에 판매하거나 가공된 정보를 비금융기관에 제공하는 행위를 허용한다.

이번 3개 카드사에서 유출된 정보에 해당 카드사가 아닌 다른 금융회사에서 축적된 정보도 다수 포함돼 있는 것은, 금융지주회사법과 신용정보보호법이 그렇게 하도록 열어놓았기 때문이다. 이런 제도적 ‘구멍’은 고객 정보 공유를 통한 수익 극대화라는 효율성 우선주의의 산물이다.

효율성 우선주의는 금융회사 경영에도 그대로 투영돼 있다. 단적으로 보안·개인정보 보호 업무는 회사 내에서 다른 영역에 견줘 비중이 낮다. 보안 등의 업무는 상당부분 외주에 의존하고, 회사 내 보안 책임자의 전문성도 취약하다. 이름을 밝히길 꺼린 한 금융회사 최고보안책임자는 “보안을 ‘비용’이라는 관점에서 접근하는 분위기가 여전하다. 이 때문에 사고가 터져도 ‘소나기만 피하면 된다’거나 ‘운이 없었다’는 인식이 적지 않다”고 토로했다. 수익의 잣대로 이뤄지는 임직원 평가 체계 아래에선 수익은커녕 지출만 하는 보안·개인정보 보호 영역의 홀대는 자연스럽다.

자회사끼리 고객정보 공유 허용도 문제

금융당국도 마찬가지다. 2011년 현대캐피탈 사태 이후 금융위는 보안 정책을 다루는 별도 과를 신설하는 등 보안 부문의 비중을 높여오고 있지만, 여전히 보안 전문가는 사무관 단 한 명뿐이다. 금융위 한 과장급 간부는 “권역별로 보안 전문가를 두고 유기적 협조 아래에서 정책이 나와야 하는 게 바람직하지만 현실이 이를 따라가지 못하고 있다”고 말했다. 금융회사와 금융위에서 보안 전문가는 각각 임원과 과장도 달기 힘들다.

제도와 조직 문화의 구멍을 시장이 메울 수 있는 환경도 아니다. 미국 등 선진 금융시장에선 금융회사의 평판은 중요하게 다뤄진다. 보안사고 등으로 평판이 나빠진 금융회사들은 고객 이탈이라는, 영업기반이 뿌리째 뒤흔들리는 상황에 맞닥뜨린다. 하지만 소수의 금융회사로 과점화된 국내시장에선 이러한 ‘시장 자정 기능’이 작동하지 않는다. 한 예로 금감원은 민원 발생 건수 등을 기준으로 매년 보험사들의 민원등급을 공개하지만, 등급제가 보험사들의 영업활동에 끼치는 영향은 미미하다. 전직 시중은행장은 “중대한 보안사고가 발생했지만, 그렇다고 해서 고객 이탈 현상으로 이어지지는 않을 것”이라고 전망했다. 실제 과거 대량 보안사고가 난 현대카드·캐피탈이나 농협은행의 경우 사고 전후로 유의미한 고객 증감은 나타나지 않았다.

이런 난맥상을 고려하면 언제든 이번과 같은 보안사고가 재발할 여지가 있는 셈이다. 금감원의 한 국장급 간부는 “당장 내일 똑같은 사고가 터진다고 해도 전혀 이상하게 생각할 이유는 없다. 사고 재발을 막기 위해선 제도와 기업 경영 문화 개선이 지속적으로 이뤄져야 한다”고 말했다. 전문가들은 장기적 대응과 더불어 단기적 처방도 고려해야 한다고 강조한다. 그중 하나가 징벌적 벌금제·손해배상제 등으로, 보안·개인정보 보호 관련 사고를 낸 금융회사에 ‘금전적 충격’을 주는 방식이다. 보안사고가 곧바로 수익에 크게 영향을 끼치도록 해야 한다는 의미다.

실제 미국에선 사고를 낸 금융회사에 징벌적 벌금을 물리고 있다. 한 예로 미국 법무부와 통화감독청은 올해 초 금융사기에 관여한 투자은행 제이피모건(JP)에 2조원이 넘는 벌금을 부과했다. 이름을 밝히길 꺼린 금융위 고위 관계자는 “미국의 감독 시스템과 법체계는 금융회사에 광범위한 자율을 보장하는 대신, 한 번 걸리면 문을 닫을 정도의 벌금을 부과하는 형식으로 시장을 규율한다”고 말했다.

이와 달리 국내에선 1억건에 이르는 개인정보를 유출한 3개 카드사가 직접 부담해야 할 비용은 많지 않다. 이들 카드사가 내놓은 보상 대책은 카드결제 여부를 알려주는 문자서비스를 무료로 제공하는 수준에 불과하다. 사상 최대의 개인정보 유출 사고를 냈지만, 해당 금융회사가 지급해야 할 금전적 비용은 미미한 셈이다. 3개 카드사 중 가장 많은 정보를 유출한 케이비카드의 지주사 케이비금융의 주가조차 별다른 영향을 받지 않고 있다.

김경락 기자 sp96@hani.co.kr