신용정보사, 사고재발땐 영업취소

◆ 정보유출 방지대책…'자기 결정권' 강화 ◆
금융사에서 고객 정보가 유출되면 해당 회사는 존립마저 위태로울 만큼 처벌을 감수해야 한다. 금융당국은 개인정보를 유출하거나 불법 활용한 금융사에 부과할 징벌적 과징금을 신설했다. 위반 횟수와 유출 정보 건수 등에 따라 금액은 달라지지만, 개인정보보호법에 따른 과징금 상한액인 5억원보다 높게 설정된다.
영업정지 기간은 최대 6개월에 달하고, 특히 신용정보사의 경우 3년 내에 불법 정보 유출이 다시 발생하면 영업허가마저 취소된다. 사고 인지를 못했거나 사고 발생을 고의적으로 숨기면 가중 제재를 받는다.
최고경영자(CEO)와 정보보호최고책임자(CISO) 등 신용정보 관리ㆍ보호인 책임도 커진다. 금융사는 신용정보 관리ㆍ보호ㆍ내부통제 현황과 정보보호 관련 정책 등을 담은 '연차보고서'를 작성해 CEO와 이사회 보고를 거쳐 공개하고 금융당국에도 제출해야 한다. CEO가 발뺌할 여지를 없애버린 것이다.
모집인이 정보를 유출하거나 불법 정보를 활용했을 때는 모집인뿐만 아니라 금융사도 과징금 지급 등 형태로 책임을 진다. 다만 정보 제공 절차 준수, 보안교육 실시 등 의무를 다하면 면책사유가 된다. 정보 유출 사고가 발생하지 않은 회사도 식별정보에 대한 암호화 미비 등 보안대책이 허술하면 최고 5000만원에 달하는 과태료를 내야 한다.

'금융전산 보안 표준지침'과 '금융보안 표준 체크리스트'를 마련해 매달 보안점검을 실시해야 한다. 외주 업체에 용역을 줄 때 핵심 보안사항에 대한 일일점검을 실시해야 하며, 금융회사 내부망 고객정보 데이터베이스에 저장된 고유식별정보에 대한 암호화도 추진된다.
해킹에 취약한 것으로 알려진 판매시점관리(Point of SaleㆍPOS) 단말기 34만대를 집적회로(IC) 단말기로 전환하는 작업에도 속도가 붙는다. 금융당국은 단말기 교체비용 부담이 큰 영세 가맹점을 돕기 위해 'IC단말기 전환기금'을 조성한다.
금융사 보안관리 수준을 평가하는 '금융전산 보안인증제'를 도입ㆍ확대하고 인증 통과 여부를 공개하기로 했다. 이 밖에 금융결제원과 코스콤 보안관제조직을 분리하고, 이를 금융보안연구원과 통합한 '금융전산 보안전담기구'가 2015년 출범한다.
[이유섭 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]