신용정보법 개정 '정보보호 상시평가제' 도입
9개 대항목과 143개 소항목으로 점수화 개편

▲7일 금융업권에 따르면 금융위원회가 금융사의 개인신용정보에 대한 관리 및 보호 실태를 상시로 점검하고, 점검결과에 대해 점수·등급을 부여하는 정보보호 상시평가제를 내년 2월부터 시행한다. (사진출처=게티이미지뱅크)

 

[스페셜경제 = 이정화 기자]카드사의 고객 정보 관리가 깐깐해 질 전망이다. 해킹 및 정보

탈취 등으로 크고 작은 데이터 유출 사건이 지속적으로 발생하면서 금융당국이 신용정보 보호에 칼을 빼든 것이다. 

 

소비자들 사이에서 '이미 흩날리는 신용정보'라는 말이 나오는 가운데 새로운 관리시스템이 신뢰를 얻고 든든한 보호장치로 작용할 수 있을지 주목된다. 


7일 금융업계에 따르면 금융위원회는 금융사의 개인신용정보에 대한 관리 및 보호 실태를 상시로 점검하고, 점검결과에 대해 점수·등급을 부여하는 정보보호 상시평가제를 내년 2월부터 시행한다.

카드사의 고객정보가 대량 유출된 사고를 겪은 이후, 정보보호를 위해 금융사의 책임과 의무를 강화시킨 제도라는 설명이다.

지난 2014년 △KB국민카드 △NH농협카드 △롯데카드 등 대형 카드 3사에서 총 1억500만건이 넘는 대규모 개인정보 유출사태가 발생한 바 있다. 유출된 정보에는 이름과 이메일 주소 뿐만 아니라 연소득, 카드번호 등 최대 19개 항목의 개인정보가 들어있었다. 해당 사태는 카드사에 파견된 신용평가 업체 직원이 대출중개업자에게 개인정보를 넘기면서 발생했다.

올 6월에는 여신금융협회가 국내 신용카드 이용자의 카드번호와 유효기간, 카드 뒷면 세자리 CVC(CVV) 등 개인정보 90만건이 해외 암시장으로 유출됐다고 발표했다. 유출된 정보에는 카드 비밀번호가 포함되지 않았지만, 해외 온라인 쇼핑몰 등에서는 번호와 유효기간만으로 결제가 가능해 위험성이 높다는 지적을 받기도 했다.

금융당국은 이번 신용정보법 개정을 통해 카드사를 포함한 전 금융사가 정보보호 자체점검 시스템을 강화할 수 있도록 할 방침이다.

개선 방안에 따르면 '정보보호 상시평가제'는 금융권 정보보호 점검항목을 기존 6개에서 9개 대항목·143개 소항목으로 세분화했다. 9개 대항목은 정보 동의·수집·제공·삭제 등 정보의 생애주기에 맞게 평가항목을 갖췄다.

주요내용은 ▲개인신용정보 동의원칙(10개) ▲개인신용정보 수집(3개) ▲개인신용정보 제공(5개) ▲개인신용정보 보유·삭제(12개) ▲정보주체의 권리보장(15개) ▲개인신용정보 처리위탁(4개) ▲관리적 보호조치(44개) ▲기술적 보호조치(35개) ▲가명정보 보호조치(15개) 등 총 9개 대항목·143개 소항목이다.

정보보호 환경을 적극 조성해 각 금융사의 개인신용정보 점검 능력을 높이고 체계적인 평가를 진행하겠다는 설명이다. 금융위는 일정기간 평가점수가 우수하고 사고가 없는 기업에 사고발생시 제재감면 등 혜택을 주는 '안전성 인증마크'를 부여키로 했다.

금융위 관계자는 "정보보호 상시평가제는 AI 인공지능 등 신기술 출현과 가명정보 도입 및 마이데이터와 같은 신규 제도에 따른 근거로 발제된 항목"이라며 "금융사가 지켜야 할 정보 보호 관점에서 제시한 만큼 자율점검시 각 사 정보보호 체계를 더욱 꼼꼼히 살필 수 있을 것으로 기대한다"고 전했다.

카드업계 관계자는 "카드사들이 최근 마이데이터 대열에 줄줄이 합류하면서 데이터 기반 사업에 뛰어들 준비를 갖추고 있다. 소비자들은 모든 귬융사의 정보를 한 눈에 파악할 수 있어 편리하지만 그만큼 정보 유출에 대한 부담이 가중되는 실정이다"며 "금융사가 디지털 전환기를 맞아 데이터 전쟁을 벌일수록 고객을 위한 데이터 신뢰를 높여야 하는 것이 과제고, 정보보호의 체계적인 점검도 필요한 상황"이라고 전했다.
 

▲신용정보법 개정안 '점검항목 주요 개선 내용' (자료출처=금융위원회)


최근 이랜드 카드정보 유출 사건이 대두되면서 소비자들의 불안이 높아지는 가운데 점검 제도뿐 아니라 카드사와 업계 차원의 유출 방지책에 대해서도 관심이 쏠린다.
 

이랜드그룹(이하 이랜드)은 지난달 랜섬웨어 공격을 가한 해커조직이 이랜드에서 해킹했다고 주장하는 카드 정보 10만건을 공개했다. 해커조직은 이랜드가 협상에 응하지 않으면 매일 10만건씩 카드정보를 다크웹을 통해 차례로 공개하겠다고 선포한 바 있다.


카드사들은 해킹, 전산장애, 정보유출 등 부정한 방법으로 정보가 유출될 경우를 대비해 해외 부정사용을 방지하는 '출입국 정보활용 안전 서비스'를 운영하고 있다. 


국내에 있는 고객에게서 해외 결제건이 승인되면 카드사가 출입국 여부를 확인해 차단하고 관리하는 시스템이다. 카드번호 유출 등에 따른 부정 사용이 확인될 경우에는 금융사가 법에 따라 피해금액을 고객에게 전액 보상한다.

20대 소비자 A씨는 "요즘 카드 정보 유출 사건이 심심치않게 나서 이쯤되면 수많은 것들 중에 내 정보는 없을 거란 장담을 못하겠다"며 "피해액 발생에 앞서 유출 자체가 큰 피해라는 걸 염두에 두고 모두가 안심할 수 있는 예방 제도를 만들어 줬으면 좋겠다"고 말했다.

이에 카드업계 관계자는 "현시점 금융사 가운데 카드사는 정보 유출에 학을 뗀 바 있어 체계가 수준급으로 마련돼 있다"며 "금융소비자의 신뢰 제고와 개인정보 유출을 막기 위해 계속해서 각 카드사 차원의 정보 기술을 도입하고 평가 체계를 준수하는 등 고객 보호에 신경써나갈 계획이다"고 답했다.

금융당국은 "이번 신용정보법 제도 개선이 국민의 개인 정보보호를 강화하는 중간 과정 역할을 할 것이다. 추후 카드사 등 금융사에 대한 구체적 평가 방법을 담은 가이드라인을 발표할 예정"이라며 "카드 부정사용 예방을 위해 온라인 결제 비밀번호의 주기적 변경과 금융사의 부정사용 예방 서비스(해외 카드사용 중지 서비스) 등을 적극 활용해달라"고 당부했다.

 

스페셜경제 / 이정화 기자 joyfully7@speconomy.com 

저작권자 © 스페셜경제 무단전재 및 재배포 금지