금융사, 고객정보 ‘폭식’…관리는 주먹구구

해지·사망자 정보도 그대로…본인 동의와 무관하게 축적

케이비(KB)·엔에이치(NH)·롯데 등 3개 신용카드사의 1억400만건에 이르는 개인정보 유출 사건을 통해 드러난 금융회사의 개인정보 수집 행위는 ‘폭식’ 수준이다. 또한 방대한 규모로 수집된 정보는 고객과 사망자, 탈회자도 구분이 되지 않을 정도로 주먹구구식으로 관리되고 있다.

이에 정부와 정치권이 앞다퉈 뒤늦은 입법 경쟁에 나설 조짐이다. 야당에선 금융당국 문책론을 제기하고 있다.

■ 금융회사의 정보 폭식 지난 8일 창원지검이 개인정보 유출 수사 발표를 할 때 가장 의문을 불러온 대목은 1억400만건이라는 유출된 정보 규모였다. 국내 신용카드 고객이 2000만명인 수준에 견줘 유출된 정보 건수가 너무 많았다. 수사기록이 금융당국에서 넘어오기 전까지 금융당국 내에서도 “검찰 집계가 이상하다”는 말이 흘러나왔다. 그 의문은 20일 카드 3사 대표들의 회견에서 풀렸다.

케이비카드에선 모두 4320만명의 개인정보가 유출됐다. 하지만 이 중 현재 카드 회원은 950만명이었다. 나머지 3370만명 중 1150만명은 카드는 없는 국민은행 고객, 2220만명은 이미 카드 계약을 해지한 과거 고객이었다. 마찬가지로 각각 2000여만명의 개인정보를 유출한 엔에이치·롯데카드도 실제 회원은 619만명과 790만명에 그쳤다. 한마디로 금융회사들은 회사 문에 한 번 들어온 고객들의 개인정보는 본인 동의와 무관하게 보관·축적하고 있다는 뜻이다.

개인정보 유출자 가운데 사망자도 다수 포함돼 있는 건 금융회사들의 정보 관리와 활용도 매우 부실하다는 사실을 보여준다. 무작정 수집된 정보를 별도 구분 없이 쌓아놨다는 의미에서다. 최근 한 카드사에 대한 현장검사에 참여한 한 금감원 직원은 “구멍 난 보안보다 부실한 정보 관리에 더 놀랐다. 정보를 경제적으로 활용하고 있는지도 의심스러웠다”고 말했다.

17일 밤부터 시행된 3개 카드사의 개인정보 유출 본인 확인 서비스에선 좀더 구체적으로 금융회사가 수집한 정보의 항목을 알 수 있다. 주민등록번호나 집주소, 전화번호 외에도 신용카드 사용한도, 사용실적, 카드 번호, 신용등급 등 신용정보도 포함돼 있다. 이런 정보는 개별 카드사들이 자체적으로 수집한 정보도 있지만 신용정보회사나 신용정보집중기관을 거쳐 들어온 가공된 정보도 있다. 고객이 금융거래를 할 때 기입한 1차 정보 외 또다른 2차 정보를 금융회사가 갖고 있는 이유다.

류찬우 금융감독원 여신전문검사실장은 19일 브리핑에서 “카드회사 간 공유되는 정보도 있다”고 말했다. 이는 특정 금융회사가 아니더라도 금융거래를 한 차례 이상만 했더라면 개인정보의 일부분은 거래하지 않은 금융회사에도 쌓여 있을 수 있다는 의미다. 이런 사실은 금융업자나 소수의 전문가들만 알고 있던 사안이다. 한 예로 지난해 10월 신한은행의 정치인 불법 조회 의혹이 불거져 나왔을 때 은행 쪽은 “(거론된 인물은) 우리 고객이 아니다”라거나 “계좌가 없다”는 해명을 내놨다. 이런 해명은 불법 조회 사실 여부를 떠나 ‘고객이 아니면 관련 정보도 없다’는 일반인들의 오해에 기댄 것이다.

개인정보 보호 ‘허술한 법’이 관리부실 조장

■ 혼란스러운 법체계와 뒤늦은 소란 폭식에 가까운 무차별적 고객 정보 수집과 주먹구구식 정보 관리와 활용은 오래 지속됐으나, 이에 대한 규제와 감독이 강화되기 시작한 것은 채 1년도 되지 않았다. 금융당국이 발표한 개인정보 보호와 관련된 정책은 최근 1년 새 집중된다.

금융당국 관계자는 “개인정보를 규율하는 법률 자체가 신용정보보호법, 전자금융거래법, 개인정보보호법 등으로 나뉘어 있을 정도로 그간 금융 현장에서는 혼선이 많았다”고 털어놨다. 금융회사 현장에서 빚은 혼선 중 하나로, 주민번호의 암호화 여부를 들 수 있다. 개인정보보호법에 따르면 금융회사별로 데이터베이스에 주민번호를 암호화한 형태로 저장해 둬야 하지만 특별법인 신용정보보호법과 전자금융거래법은 명확한 규정 없이 개인정보를 암호화한 형태로 송수신해야 한다고만 정하고 있다.

차재성 금감원 개인정보보호태스크포스(T/F) 수석조사역은 “안전행정부와 금융위원회와 함께 작년 8월 만든 금융분야 개인정보보호 가이드라인에선 주민번호의 암호화를 의무화시켰지만, 이 가이드라인이 법적 효력이 있는 것은 아니다”라고 말했다. 법체계의 혼선이 개선되지 않는 상황에서 행정당국이 임의적으로 만든 가이드라인이 금융회사의 개인정보 보호를 규율하고 있는 셈이다.

탈회한 고객이나 사망자 정보를 카드사들이 상당수 보유하고 있었던 것도 허술한 법 때문이다. 관련 법에선 탈회한 고객의 정보 보유기한을 “필요한 기한”으로만 정해놓고 있고, 하위 감독규정에서만 5년으로 돼 있다. 정인화 금감원 실장은 “5년 이상 더 보관할 경우 금융회사의 소명이 필요하다”고 말했다. 소명이 인정되면 보관기간은 더 길어진다는 의미다.

정치권은 이번 정보 유출 사태를 계기로 뒤늦은 제도 개선 목소리를 앞다퉈 내고 있다. 전날인 20일 새누리당이 정부와 협의해 금융지주회사법 개정 등 법 개정 의사를 밝힌 데 이어 21일에는 야당인 민주당이 나섰다. 다만 민주당 쪽은 사태에 대한 문책에 더 무게를 실었다. 전병헌 민주당 원내대표는 이날 오전 원내대책회의에서 “개인정보 유출에 책임 있는 금융기관과 감독기관은 엄중한 문책이 있어야 할 것”이라며 금융위원장과 금감원장의 책임론에 불을 지폈다. 박근혜 대통령도 스위스 순방 중인 20일(현지시각) “개인정보 유출 경로를 철저히 조사해 파악토록 하고 책임을 엄하게 물어야 한다. 근본적이고 구조적인 문제를 파악해 재발방지 대책을 마련하도록 하라”고 관련 부처 장관들에게 지시했다고 이정현 청와대 홍보수석이 전했다.

책임론에 휩싸인 금융위원회는 개인정보보호 관련 종합대책을 22일에 내놓고, 정보를 유출한 금융회사에 대한 제재도 다음달 안으로 마무리하겠다고 밝혔다.

김경락 조혜정 기자, 베른/석진환 기자 sp96@hani.co.kr