[정보유출 방지대책]수집정보 10개 이내..주민번호는 첫 거래에만(종합)

금융사와 관련 임직원의 책임ㆍ징계 수준 대폭 강화

아주경제 김부원 기자= 금융사가 수집할 수 있는 고객정보의 수가 6~10개로 제한된다. 주민번호 수집은 최초 거래시에만 가능하다. 정보보호에 대한 금융사의 책임과 징계도 대폭 강화된다. 

금융위원회, 기획재정부, 미래창조과학부, 안전행정부, 방송통신위원회, 금융감독원 등은 최근 1억여건의 카드사 고객정보 유출 등에 따른 후속 조치로, 이같은 내용을 담은 '금융분야 개인정보 유출 재발방지 종합대책'을 10일 발표했다.

그동안 수집정보 항목은 30∼50여개였지만, 앞으로 금융사는 필수정보 6~10개만 수집할 수 있다. 추가적인 정보 수집은 수집목적, 제공처 등을 설명한 후 고객 동의하에 수집해야 한다.

주민번호 수집은 최초 거래 시에만 할 수 있으며, 키패드 입력 등 번호 노출이 최소화되는 방식으로 해야 한다. 정보제공 동의서 양식에서 '필수사항'과 '선택사항'이 구분되고, 필수사항 동의로 계약 체결이 이뤄지도록 했다.

문자 등을 통한 비대면 영업행위도 상당 부분 제한된다. 고객의 권리 확대를 위해 정보 이용 현황 조회권, 정보 제공 철회권, 연락중지 청구권, 정보보호 요청권, 신용조회 중지 요청권이 도입된다.

또 금융사는 고객이 본인 정보의 이용 현황을 확인할 수 있도록 해야 한다. 고객이 수신 거부 의사를 밝히면 영업 목적 연락을 차단하는(Do-not-call) 시스템을 구축해야 한다.

고객이 원하면 기존 정보 제공 동의를 철회해야 하며, 거래 종료 고객이 본인 정보의 보호를 요청하면 금융사가 파기 또는 보안 조치를 해야 한다.

'징벌적 과징금'을 부과하는 등 금융사의 책임도 대폭 강화된다. 고객정보 유출 금융사에 대한 과징금 부과한도는 기존 1억~5억원에서 50억원으로 상향된다. 불법정보를 활용한 금융사의 경우 매출액의 3%가 과징금으로 부과된다.

보안대책 미비 등으로 적발된 금융사에 대한 과태료는 기존 600만원에서 5000만원으로, 영업정지는 기존 3개월에서 6개월로 각각 늘어난다.

정보 유출 관련 형벌은 10년 이하 징역 등 최고 수준으로 강화한다. 신용정보사는 불법 정보 유출에 관련되면 6개월 이내 영업정지 또는 과징금을 내게 된다. 3년내 재위반시 허가가 취소된다.

최고경영자(CEO) 및 관련 임직원의 책임도 무거워진다. 금융사는 신용정보 관리·보호인을 임원으로 선임해야 한다. 신용정보 관리·보호인이 CEO에게 주기적으로 실태를 보고했지만, 후속 조치가 취해지지 않을 경우 책임이 CEO에게 부과된다.

금융사 IT 보안을 책임지는 정보보호최고책임자(CISO)의 IT 관련 겸직도 제한된다. 아울러 금융사들은 전산센터 내·외부망 분리 작업을 올해까지 마무리한다.

금융전산 보안 관제 범위는 은행·증권에서 보험·카드까지 확대된다. 금융보안 전담기구가 내년에 출범하며, 금융사의 전산보안 수준을 평가·공개하는 금융전산 보안인증제도 도입된다.

아울러 정부는 신용카드 결제시 보안이 강화된 집적회로(IC) 결제단말기를 연내까지 사용하도록 적극 유도할 방침이다. 결제대행사 밴(VAN)사 등록제도 도입된다.

정부는 법 개정이 필요하지 않은 부분은 최대한 조속히 시행하고, 신용정보법ㆍ전자금융법 등 법률개정안은 상반기 중 국회 통과를 추진할 방침이다.