“14건 제재 중 강력제재 없었다”

5년 간 개인정보 유출사건 제재현황

▲ KB국민카드, NH농협카드, 롯데카드 등 3곳의 카드사에서 유출된 고객정보는 1억400만건에 달했다.[사진=더스쿠프 포토]

사상 최대 규모의 개인정보 유출사건이 터졌다. 카드사에 파견된 직원이 빼돌린 고객정보는 1억4000만건에 달한다. 금융사의 개인정보 유출사건이 고구마 줄기 따라오듯 터지자 한편에선 ‘솜방망이 처벌을 개선해야 한다’는 주장이 나온다. 금융당국의 처벌수위는 어느 정도일까. 지난 5년간 금융사 개인정보 유출사건의 제재현황을 살펴봤더니, 결과는 충격적이다.

금융사의 개인정보 유출사건이 또 터졌다. 규모면에서 사상 최대 개인정보 유출사고였다. KB국민카드(5300만건), NH농협카드(2500만건), 롯데카드(2600만건) 등 3곳의 카드사에서 유출된 개인정보는 1억400만건에 달했다. 사건의 원인은 내부에 있었다. 신용평가사 코리아크레딧뷰로(KCB)의 직원에 의해 고객정보가 유출됐다. 방법은 간단했다. USB를 이용해 전산에 들어 있는 개인정보를 무작위로 내려받았다. 범행은 부정사용방지시스템(FDS) 개발을 위한 파견 근무를 나간 2012년 10월부터 이뤄졌다.

유출된 개인정보의 내용도 심각한 수준이다. 이름ㆍ주민번호ㆍ휴대전화번호ㆍ주소는 기본. 주거상황ㆍ카드신용한도금액ㆍ카드신용등급ㆍ카드결제일ㆍ카드결제계좌 등 19종의 개인정보까지 유출됐다. 이 직원은 고객정보 일부를 대출모집인에게 판매했고 그 대가로 고작(?) 2300만원을 받았다. 사건이 터지자 금융당국은 카드사를 상대로 특별검사를 실시하고 사태수습에 나섰다. KCB와 카드3사는 대국민 사과를 했지만 사태는 진정되지 않았다. 결국 각 카드사의 사장과 경영진들은 전원 사퇴했다.

금융사의 개인정보 유출사건이 발생한 건 이번이 처음은 아니다. 이전에도 크고 작은 개인정보 유출사건이 수차례 터졌다. 전문가들은 “금융사의 허술한 내부통제시스템 만큼 금융감독당국의 ‘사후약방문식’ 대처, 적당한 선에서 이뤄지는 징계도 문제”라고 지적하고 있다. 실제로 고객정보 유출사건이 발생할 때마다 금융감독원은 기관경고ㆍ1000만원 이하의 과태료ㆍ임원 경고ㆍ직원 견책 등 솜방망이만 휘둘렀다.

금융감독원이 조원진ㆍ이상일(새누리당) 의원에게 제출한 ‘최근 5년간 금융사의 개인정보 사고 건수와 사후처리 현황’을 살펴보면 2009~2013년말 발생한 금융사의 개인정보 유출사건으로 제재가 이뤄진 건은 14건에 달했다. 이 가운데 홈페이지와 웹서버 해킹을 통해 정보가 유출된 사건은 절반인 7건이었다. 고객정보를 고의적으로 유출한 경우는 5건에 달했고 프로그램 오류에 의한 사건과 고객정보 무단 제공한 경우는 각각 1건씩 있었다.

하지만 14건의 사건 가운데 영업정지ㆍ면직ㆍ해임권고 등 강력한 제재가 이뤄진 사건은 단 한건도 없었다. 가장 많이 이뤄진 징계 종류는 기관주의와 임직원 견책ㆍ감봉ㆍ주의였다. 고객정보 유출사건이 터져도 임직원은 3개월 동안 월급을 덜 받으면 그만이고, 회사는 주의를 받으면 끝났다는 얘기다. 특히 홈페이지에 대한 해킹으로 개인 고객정보가 유출된 7건 가운데 4건은 기관주의와 임직원 견책ㆍ주의의 제재만 받았다. 나머지 2건은 고작 감봉이 추가됐고, 단 1건만 기관경고의 조치를 받았다.

정보유출 과태료 600만원이 최대치

제재가 이뤄진 14건의 사건중 과태료가 부과된 경우는 5건에 불과했다. 과태료의 금액도 4건은 600만원을 부과했고 나머지 1건은 300만원이었다. 5건에 부과된 과태료를 모두 합해도 2700만원에 불과했다. 이는 신용정보이용보호법 시행령에서 과태료 한도를 600만원으로 정해놨기 때문이다. 사건의 중요성과 상관없이 고객정보 유출로 금융사가 부과하는 600만원을 넘어서지 않는다는 얘기다. 5건의 사고는 적게는 15건에서 많게는 81만건에 달하는 개인고객정보가 유출된 사건으로 모두 내부직원에 의해 정보가 유출됐다.

가장 높은 수위의 제재인 기관경고 조치를 받은 사건은 1건에 불과했다. 2011년 4월 당시 최대 규모의 고객정보가 유출된 현대캐피탈 개인정보 유출사고다. 기관경고의 경우 현재 금융감독원의 제재중 가장 강력한 제재에 속한다. 3년 안에 기관경고를 세번 이상 받게 되면 영업•업무 일부정지, 영업점 폐쇄, 영업점 영업 일부정지 등을 받을 수 있기 때문이다.

이에 따라 고객정보 유출시 강력한 처벌이 필요하다는 의견이다. 강형구 금융소비자연맹 금융국장은 “금융사의 개인정보유출 사고를 예방하기 위해 임직원의 보안의식을 높이고 개인정보 보호에 대한 투자가 필요하다”며 “무엇보다 강력한 처벌과 함께 징벌적 손해배상제도의 도입이 필요하다”고 밝혔다.

▲ 계속되는 개인정보 유출을 막기 위해선 처벌 수위를 높이고 피해자 보상핵과 방지 대책 등을 제대로 세워야 한다.[사진=뉴시스]

금융위원회는 ‘금융회사 고객정보 유출 재발방지 대책’을 1월 22일 발표했다. 신제윤 금융위원장은 “정보유출 해당 카드사에 대해서 관련법령상 가능한 최고수준의 제재를 2월 중 부과하고 임직원에 대해서도 확실한 책임을 물을 것”이라며 “앞으로 이런 사고가 재발하면 그 회사와 관련자는 문을 닫고 금융업에 다시는 종사하지 못하도록 확실한 조치를 취할 것”이라고 말했다.

금융당국은 개인정보의 유출과 활용을 막기 위해 ‘징벌적 과징금’을 도입했다. 불법 수집ㆍ유통된 개인정보를 활용해 영업활동을 할 경우 관련 매출액의 1%에 해당하는 과징금을 부과하도록 한다는 방침이다. 또한 기관제재도 영업정지 기간을 지금의 3개월에서 6개월로 확대할 방침이다.

하지만 정작 이번 사건에 연관된 KB국민카드ㆍNH농협카드ㆍ롯데카드는 강화된 처벌을 받지 않을 전망이다. 대책을 소급적용할 수 없어서다. 이에 따라 3곳의 카드사는 영업정지 3개월과 최고경영자 해임권고 등이 최고수준의 제재가 될 전망이다. 게다가 징벌적 과징금도 매출액이 아닌 불법 수집•유통된 개인정보를 활용한 매출액의 1%에 해당하는 과징금을 뜻하고 있어 여전히 솜방망이 처벌이라는 비판을 받고 있다.

여전한 솜방망이 처벌 논란

소비자의 권리 확대를 위한 대책도 빠져 있다는 의견이 많다. 집단소송 범위를 확대 등의 방법을 통해 소비자 권리의 실효성을 높일 수 있는 대책이 마련돼야 한다는 얘기다. 남희 금융소비자원 원장은 “금융사의 개인정보유출 사고는 금융당국의 솜방망이식 제재와 금융사 위주의 제도운영에 원인이 있다”며 “금융당국의 대책에는 이를 개선하기 위한 대책이 나오지 않았다”고 말했다. 그는 “정보유출방지 방안을 제대로 시행하기 위해서는 소비자 보호에 정책의 방향이 맞춰져야 한다”며 “정보관리 부실로 인한 책임범위와 제재, 피해자 배상 등에 대한 구체적인 대책 수립돼야 한다”고 강조했다.
강서구 더스쿠프 기자 ksg@thescoop.co.kr

강서구 기자 ksg@thescoop.co.kr

다른기사 보기