개인신용정보 보호 불안 여전…비식별 조치도 논란

아주경제 노경조 기자 = #.30대 직장인 신씨는 최근 신용카드를 발급받으면서 황당한 일을 겪었다. 카드 신청 당시 다른 가족의 휴대전화 번호를 기입한 적이 없는데, 어머니에게 카드 발급 사실이 전달된 것이다. A사에 문의해보니 부모님이 2009년 자신의 이름으로 카드 신청을 하기 위해 작성했던 서류 기록이 심사단계까지 가지도 않았는데 지워지지 않고 남아있었던 것으로 확인됐다. 이번에 신씨가 카드를 신청하는 과정에서 정보가 연동됐다는 게 A사 측 설명이다.

이는 지난해 9월 개정·시행된 신용정보의 이용 및 보호에 관한 법률 시행령에 위반된다. 시행령은 금융거래가 종료된 신용정보 중 선택적 정보는 3개월 이내에 삭제토록 하고, 필수적 정보는 분리 및 접근 통제 하에 5년까지만 보관을 허용하고 있다.

A사는 신씨에게 고의는 없었지만 신용정보 파기기한(5년)을 넘긴 데 대해 사과하고, 손해가 발생한 부분이 있으면 내부 검토 후 보상해주겠다는 입장을 전했다.

3일 금융당국에 따르면 이같은 경우 신용정보법 시행령은 위반업체에 3000만원 이하의 과태료를 부과하도록 정하고 있다. 만약 정보가 외부로 유출됐다면 여신금융전문업법에 따른 제재도 가능하다. 지난해 4월 시행된 여전법 개정안은 카드사가 개인정보 유출 등 신용 질서를 어지럽히거나 소비자 보호에 미흡할 경우 영업정지 6개월, 과징금 1억원의 제재 조치를 취할 수 있도록 했다.

앞서 2014년 발생한 카드사의 대규모 정보 유출 사태가 재발하지 않도록 금융당국이 관련 법령을 강화한 것이다. 그러나 여전히 업계 내부적으로 관리가 소홀해 개인신용정보 유출에 대한 불안 사례나 민원은 꾸준한 실정이다. 금융감독원의 실태 점검이 무색해지는 결과다.

금감원 관계자는 "민원의 경우 내용이 포괄적이거나 전혀 상관 없는 민원에 해당 내용이 포함돼 있기도 하다"며 "은행, 저축은행, 보험·카드사 등을 대상으로 개인신용정보 보호 이행 여부를 점검하고 있지만 매일 모니터링할 수는 없어 업체가 법규를 잘 지키는 것이 우선돼야 한다"고 말했다.

이런 가운데 정부는 지난 6월 개인정보 비식별 조치 가이드라인을 발표했다. 가명 처리 등의 방식으로 사전 동의 없이 개인정보를 수집하는 것으로, 기업의 빅데이터 육성을 지원하려는 취지다. 또 금융위원회는 최근 신용정보원이 비식별화 정보를 가공할 수 있도록 근거를 마련했다.

하지만 비식별 조치가 충분히 이뤄졌더라도 새로운 결합기술이 출현하고 입수 가능한 정보가 증가하는 경우 사후에 재식별이 될 수 있다는 위험을 안고 있다. 개인신용정보를 한데 모으는 신용정보원이 은행연합회 등 이익 집단과 연계된 점도 위험 요소다.

이렇듯 민감한 사안을 가이드라인으로 가볍게 다뤘다는 비판에 대해 금감원 측은 "신용정보원의 신용정보 시스템 운영·관리 실태를 점검할 예정이다"며 "개인신용정보 오·남용으로 인한 피해가 없도록 하겠다"고 말했다.