1억여건에 이르는 카드사 고객정보 유출사고의 책임은 어디에 있을까.
1차적으로는 카드사 자체 책임을 부인할 수 없다.그러나 금융당국은 금융사의 과도한 개인정보 수집의 문제점을 인지했음에도 불구하고 이를 사실상 방치했다. IT보안 관련 검사를 제대로 하지 않아 대규모 정보유출 사고를 예방할 수 있는 기회를 상실하고 말았다. 금융당국의 관리 소홀과 고질적인 업무태만이 주된 원인이고 보면 '소잃고 외양간을 고치기'를 끝내 못한 꼴이다.
감사원은 올해 초 카드사 개인정보 유출사고와 관련해 금융위원회와 금융감독원의 검사·감독실태를 감사했다. 그 결과 금감원이 금융사의 IT부문 관련 보안규정이 제대로 지켜지고 있는지 철저히 검사해야 하지만 인력이나 기간 부족 등을 내세워 종합검사 기간 중에도 검사를 태만히 했다고 지적했다.
앞서 경제정의실천시민연합 등 시민단체는 금융당국이 금융사들의 고객정보 유출 가능성을 충분히 예측할 수 있었음에도 제대로 감독하지 않아 이같은 사고가 발생했다고 감사원에 공익감사를 청구했다.
금감원은 지난 2012년 6∼7월 농협은행 종합검사 당시 농협이 신용카드 부정방지사용시스템(FDS) 개발을 외부업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다. 또한 KCB의 컴퓨터(PC)에 자사 단말보안프로그램조차 설치돼 있지 않았던 사실도 파악하고 있었다.
하지만 금감원은 이에 대해 제대로된 검사를 실시하지 않았고, KCB 전체 PC 533대 중 1대만 점검하고서 모든 PC에 보안프로그램이 설치됐다고 판단했다. 결국 KCB의 박모 차장은 금감원의 종합검사가 진행 중이던 2012년 6월부터 그해 12월까지 모두 2427만건의 개인정보를 빼냈다.
롯데카드의 경우에도 용역업체에게 실제 고객들의 개인정보가 제공됐지만 금감원은 담당자 면담과 서류 확인만으로 보안에 문제가 없다고 판단해 검사를 하지 않았다. 박 차장은 지난해 12월 USB같은 보조기억매체의 접근을 통제하는 프로그램이 설치되지 않은 컴퓨터를 이용, 롯데카드에서 1967만건의 개인정보를 유출했다.
금감원의 이러한 부실검사와 안일한 업무처리 등으로 인해 농협은행과 롯데카드, 현대·IBK캐피탈에서 2011년 3월부터 지난해 12월까지 4569만건의 개인정보가 유출됐다. 아울러 금융위는 기존의 금융지주회사법 규정이 개인정보 보호법상 개인정보 보호취지에 미흡한 상황이었으나, 카드사의 개인정보 유출사고가 터지고 나서야 대책을 마련하는 등 뒤늦게 개선에 나섰다.
또한 지난 2012년 4월부터 11월까지 62개 금융회사를 대상으로 금융권 개인정보 수집ㆍ이용실태 종합점검을 실시하면서 과도한 개인정보 수집 등의 문제점을 파악해 개선방안을 수립했지만 이를 제대로 지도·감독하지 않았다. 이에 따라 국민·농협·롯데카드에서 거래관계가 끝나 파기·별도보관 대상으로 분류해야 할 정보 2649만건이 유출됐다.
이번 감사 결과는 금융당국이 추진 중인 금융사 대규모 징계에도 영향을 미칠 전망이다. 감사원은 2011년 국민카드가 국민은행에서 분사할 당시 고객정보 이관과 관련, ‘신용정보법에 따른 금융위 승인을 받지 않아도 됐다’고 해석했다. 금융당국이 임 회장 징계 근거로 삼은 해석과 정면 충돌하는 대목이다.
감사원은 헌법기관인 동시에 금융위보다 상급기관이다. 금융권 관계자는 “금융당국의 제재 근거는 약해질 수밖에 없게 됐다”고 말했다. 임 회장의 다른 중징계 사유인 국민은행 전산시스템 교체를 둘러싼 내홍과 관련해서도 문책경고가 과하다는 비판이 제기되는 상황이다.
금융당국은 “감사 결과를 수용한다”면서도 임 회장에 대한 중징계 방침은 고수했다. 당국의 한 관계자는 “유권해석은 미래 지향적이며 개별 제재 사안의 특수성은 고려하지 않은 것”이라며 “KB금융의 사례는 유권해석과 무관한 중요한 부분이 있다”고 강조했다.
국민의 일상생활과 직결된 금융사고 예방과 재발 방지를 위해서 국가의 감독과 금융당국의 감시가 얼마나 중요한 지를 이번 감사원 감사결과는 웅변하고 있다.
