KB국민카드와 롯데카드, NH농협카드가 오는 17일부터 3개월간 영업 정지된다. 이에 따라 신규 가입과 대출 업무가 전면 금지된다. 다만 재발급이나 카드 결제 등 기존 고객 서비스는 계속된다. 금융사 등을 사칭한 불법 대부 광고와 대출 사기 전화번호가 6일부터 차단되며, 100만원 이상 이체할 때 본인 확인을 추가하는 방안도 은행에 이어 이달 중 제2금융권으로 확대 시행된다. 또 3일부터는 모든 카드사와 은행, 금융투자, 보험, 개인신용조회 회사, 대부업체 등 33개사에 대한 특별 현장검사를 추가로 확대 실시할 예정이다. 금융위원회와 금융감독원은 3일 고객 정보 유출 사고와 관련해 카드 3사 측에 ‘3개월 영업 정지’를 공식 전달하기로 했다. 카드사의 영업 정지는 2003년 ‘카드 대란’ 이후 11년 만에 처음이다. 금융위 관계자는 2일 “고객 정보 유출 카드 3사에 대한 징계를 영업 정지 3개월로 최종 확정했으며 3일 오전에 통보할 예정”이라면서 “10일간의 준비 기간과 오는 14일 금융위 의결을 거쳐 17일부터 3개월 영업 정지에 들어간다”고 밝혔다. 카드 3사의 최고경영자(CEO)와 임직원의 징계는 책임 관계를 확인하는 데 시간이 걸려 이르면 이달 말쯤 확정된다. 대출 사기 관련 전화번호를 즉각 중단하는 ‘신속 이용정지제도’는 오는 6일부터 시행된다. 금융 사고 관련 공시도 엄격해진다. 임직원 등의 부당 행위로 발생한 금융 사고에 대해서는 은행별 자기자본 규모와 상관없이 사고 또는 손실액이 10억원을 넘으면 의무적으로 수시 공시하도록 개정된다. 김경두 기자 golders@seoul.co.kr

은행, 증권, 보험, 카드 등 4대 금융업계의 116개사가 지난해 정보 보호 예산을 전년 대비 평균 22.4%가량 줄인 것으로 나타났다. 도이치증권은 지난해 정보기술(IT) 보안(정보 보호) 인력이 단 한 명도 없는 것으로 확인됐고, 우리카드는 보안 인력이 2명(IT 인력의 3%)에 불과해 전자금융거래법(보안 인력은 IT 부문 인력의 5% 이상)을 위반한 것으로 드러났다. 금융사 최고경영자(CEO)의 관심 부족과 수익성 논리에 치우친 결과로 해석된다. 서울신문이 28일 이노근 새누리당 의원실을 통해 입수한 금융감독원의 ‘금융사 IT 보안 예산 및 IT 보안 인력 현황’ 자료에 따르면 지난해 금융권 116개사의 정보 보호 예산은 평균 79억 5000만원으로 전년(102억 5000만원) 대비 22.4% 감소했다. 지난해 정보 보호 예산 141억원을 책정한 은행권(18개사)의 삭감 폭이 가장 컸다. 2012년(218억원) 대비 35.3% 깎였다. 증권업계(49개사)와 보험업계(41개사), 카드업계(8개사)의 지난해 정보 보호 예산도 전년 대비 각각 14.8%, 14.0%, 3.5% 줄었다. 규모로는 증권사가 지난해 평균 23억원으로 가장 적었고 보험(43억원)과 카드(111억원), 은행(141억원) 순이었다. 보안 인력도 빈약했다. 지난해 은행권의 IT 인력은 업체당 평균 387명으로 이 중 보안 인력은 24명(6.2%)이었다. 전자금융거래법상 보안 인력은 ‘IT 인력의 5% 이상’(5% 룰)이어야 한다는 조건을 겨우 충족했다. 그러나 내용을 들여다보면 ‘눈 가리고 아웅하는 격’이라는 지적이 나온다. 보안 인력에는 단순한 PC 유지·보수 인력과 네트워크 유지·보수 인력도 포함됐기 때문이다. 보안 인력의 ‘5% 룰’을 맞추기 위한 꼼수라는 얘기다. 이기웅 경제정의실천시민연합 경제정책팀 부장은 “고객 정보는 금융사의 큰 자산인데, 이를 책임지는 보안 인력은 절대 수가 부족한 데다 상당수가 외부 용역업체 직원”이라면서 “수익성 논리와 5% 룰에 따르다 보니 기형적인 구조가 만들어졌다”고 지적했다. 증권과 보험, 카드는 더 열악했다. 증권 49개사 중 절반이 넘는 25개사의 보안 인력이 ‘2명 이하’로 나타났다. 도이치증권은 보안 인력이 아예 없었고, 부국증권과 BS투자증권, 맥쿼리증권 등 19개사의 보안 인력은 1명뿐이었다. IBK투자증권과 KTB투자증권 등 5개사도 2명에 불과했다. 보험 41개사 중 농협손해보험과 코리안리재보험, KB생명보험도 보안 인력이 각각 2명이었다. 이번 카드 사태의 주범인 KB국민카드와 롯데카드도 보안 인력이 각각 12명, 15명에 그쳤다. 김경두 기자 golders@seoul.co.kr

신제윤 금융위원장은 23일 징벌적 과징금 제도와 관련, “금융사의 매출 규모를 고려할 때 1000억원대가 부과될 수 있는 사실상 상한선이 없는 제도”라면서 “정보 유출만 하더라도 50억원의 과징금이 부과된다”고 밝혔다. 다만 집단소송제와 징벌적 손해배상제도 도입에 대해서는 “다른 법 체계 등과 함께 연구해 볼 부분”이라며 다소 부정적 입장을 내보였다. 신 위원장은 이날 국회 정무위원회의 긴급 현안보고에 참석해 여야 의원들에게 정부의 ‘고객정보 유출 재발방지 대책’에 대해 설명했다. 신 위원장은 이번 카드 사태의 원인에 대해서는 “시스템의 문제라기 보다 매뉴얼을 지키지 않은 데서 나왔고, 이는 허술한 의식에서 비롯됐다”면서 “형벌이 약해서 경각심을 불러일으키지 못한 측면이 있다”며 처벌 강화 방침을 밝혔다. 금융 당국의 책임과 관련해서는 “지난 30여년간 공무원 생활을 충실히 해왔으며 현재는 사태 수습이 먼저”라며 답변을 피했다. 신 위원장은 이어 “카드 부정 사용이나 2차 피해가 없었다”면서 “국민의 불안 해소에 전력을 다하겠다”고 말했다. 그는 “검찰이 유출된 정보가 유통되지 않았다고 수차례 명확히 밝혔고, 사고 발생 1년이 넘은 시점인 데도 카드 사고가 없었으며 그동안 피해 보상 요구가 없었다는 점을 볼 때 카드를 굳이 바꿀 필요는 없다”고 강조했다. 또 “유출된 고객 정보로는 카드 복제도 불가능하다”고 덧붙였다. 신 위원장은 “현재 해당 카드사와 금융 당국 모두가 조속한 사고 수습에 온 힘을 다하고 있다”며 “정보 유출 관련 종합대책을 통해 추가적인 피해가 양산되지 않도록 철저히 관리할 것”이라고 밝혔다. 이날 현안보고에는 신 위원장과 최수현 금융감독원장을 비롯해 사퇴 의사를 밝힌 심재오 KB국민카드 사장과 이신형 NH농협카드 분사장, 박상훈 롯데카드 사장, 김상득 코리아크레딧뷰로(KCB) 사장 등 이번 카드 사태에 책임이 있는 최고경영자(CEO)도 참석했다. 김경두 기자 golders@seoul.co.kr

정부가 고객정보 유출 방지 대책의 핵심으로 내세운 것은 ‘처벌 강화’다. 시중은행의 경우 연간 15조원이 넘는 매출액을 올리고 있어 이번 같은 사태가 발생하면 최대 1500억원이 넘는 징벌적 과징금이 부과될 수도 있다. 다만 이번 대책이 실제로 적용되려면 관련 법을 모두 개정해야 해 시간이 걸릴 전망이다. 22일 금융위원회 등에 따르면 현행 과징금 600만원, 주의적 경고 수준에 그치는 금융사 정보 유출에 대한 제재 수준을 크게 올려 두 가지 상황에 따라 적용하기로 했다. 불법 수집, 유통된 개인정보를 활용해 영업 활동까지 한 금융사는 매출액의 1%까지 징벌적 과징금을 부과하기로 했다. 관련 법을 개정해야 해 현재 사태를 일으킨 3개 카드사에는 소급 적용되지 않는다. 업계에 따르면 2012년 기준으로 업계 1위인 신한카드 매출액은 4조 5047억원, 문제가 발생한 KB국민카드는 2조 9200억원, 롯데카드는 1조 6742억원이다. 유출된 개인정보로 영업 활동을 하지는 않았더라도 이번 카드 3사의 정보 유출 사태처럼 금융사가 사회적 물의를 일으키면 과징금으로 최대 50억원을 매길 방침이다. 금융사에 대한 제재 규정을 개정해 유출된 개인정보 건수에 따라 임원 해임 등 양형 기준도 강화하기로 했다. 금융사 제재도 현재 영업정지 3개월에서 최장 6개월로 늘어난다. 코리아크레딧뷰로(KCB)와 같은 신용정보사에 대해서도 신용정보법을 개정해 영업정지 등 기관 제재를 도입하기로 했다. 이해선 금융위 중소서민금융 정책관은 “위법성의 중대 여부와 고객에게 미치는 영향 등을 고려해 신규 영업정지로 할 것인지 전체 영업정지로 할 것인지 좀 더 살펴봐야 한다”고 밝혔다. 사전 예방책으로는 무분별한 개인정보 수집을 통제하기로 했다. 카드 신청서를 쓸 때 결혼 유무 등 불필요한 개인정보를 제공하는 행위도 중단하게 할 계획이다. 카드회원 탈회 요청을 한 고객 등 거래 종료 고객 정보는 현재의 고객과는 별도로 나눠 보관·관리하고 외부 영업을 목적으로 한 활용을 엄격히 제한하기로 했다. 또 금융지주사 계열사 간 정보 공유도 제한한다. 앞으로는 금융지주회사법상 특례에 따른 정보 활용은 원칙적으로 신용위험관리 등 내부 경영 관리 목적에 한정되고 사전 동의 없이 고객정보를 외부 영업에 활용하는 경우 업무 처리 절차를 대폭 강화하기로 했다. 내부 통제도 강화해 일정 규모 이상의 금융사에 대해서는 신용정보 관리·보호인을 임원으로 임명해 중요 사항은 최고경영자(CEO)에게 월 1회 이상, 이사회에는 연 1회 이상 정기적으로 정보 보호 상황을 보고하게 된다. 그러나 이런 조치가 실제로 적용되려면 신용정보법 등 관련 법을 모두 고쳐야 한다. 금융 당국은 다음 달 열리는 국회에서 관련 법을 모두 개정하도록 추진할 방침이다. 김승주 고려대 정보보호대학원 교수는 “처벌 수준을 높이는 것은 바람직하지만 문제는 그게 실제로 운영될지 여부”라면서 “정부가 정해 준 가이드라인을 다 따랐는데도 문제가 생기면 징벌적 과징금을 부과하겠다는 것인데 금융사 입장에서 납득할 수 있을지 의문”이라고 지적했다. 정태명 성균관대 소프트웨어학과 교수는 “안전행정부, 방송통신위원회, 금융위원회 등 각 부처에서 개인정보 관리가 제각각 이뤄지는 것도 문제인데 이에 대한 대책은 빠졌다”면서 “카드사뿐만 아니라 금융 당국의 감독기능 부실도 문제인데 이에 대한 언급은 없다”고 말했다. 김진아 기자 jin@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

불법 수집하거나 유통된 개인정보로 영업 활동을 하는 금융사에 매출액의 1%를 징벌적 과징금으로 부과한다. 또 개인정보를 불법 유출한 금융사에 대해 최고 50억원의 과징금 부과도 추진된다. 금융사의 최고경영자(CEO) 해임뿐 아니라 금융사에 대한 제재도 영업정지 3개월에서 최장 6개월로 확대된다. 1억 400만건의 고객정보를 유출한 국민카드와 농협카드, 롯데카드 등 3사에 대해서는 다음 달 영업정지 3개월의 중징계가 내려진다. 금융위원회는 22일 관계 장관회의와 당정협의를 거쳐 ‘금융회사 고객정보 유출 재발방지 대책’을 발표했다. 신제윤 금융위원장은 “그동안 여러 정보 유출 사고가 있었지만 이번 건과 같은 대형 사고는 없었다”면서 “불안감을 드린 것에 대해 죄송스럽다”고 밝혔다. 앞으로는 금융사의 과도한 개인정보 보유나 공유가 금지된다. 금융 당국은 성명과 주소 등 필수 정보와 신용등급 산정에 필요한 정보 외에는 수집을 못 하도록 할 방침이다. 개인정보의 보유 기간도 ‘거래 종료일’로부터 5년으로 제한된다. 금융지주그룹 내에서 공유하는 고객정보의 활용도 마찬가지로 제한된다. 고객정보를 금융지주 계열사나 제3자와 공유하는 행위는 고객의 사전 동의를 받아야 한다. 정보 수집에서 약방의 감초였던 ‘포괄적 동의’는 원칙적으로 금지된다. 대출 모집인이 불법 유출 정보를 활용해 영업하면 자격을 박탈한다. 금융위 관계자는 “징벌적 과징금과 관련해 매출액의 1%라는 것은 사실상 상한이 없다는 의미”라고 말했다. 엄격한 법 적용이 중요하다는 지적도 나온다. 정부는 지난 3년간 금융 보안 사고와 고객정보 유출 때마다 재발 방지 대책을 내놓았다. 이번이 세 번째다. 2011년 175만건의 정보가 유출된 현대캐피탈 사건 직후 ‘중대 보안 사고가 발생할 때 금융사 문을 닫게 하겠다’는 금융위의 약속은 3년 만에 첫 대상자가 나온다. 김인석 고려대 정보보호대학원 교수는 “지금까지는 강력한 처벌이 없었기 때문에 ‘별 문제 없구나’라고 생각했을 수 있다”면서 “앞으로는 금융사들의 생각이 달라질 것”이라고 말했다. 김경두 기자 golders@seoul.co.kr 김진아 기자 jin@seoul.co.kr

KB국민카드와 NH농협카드, 롯데카드 3개 신용카드사에서 1억 400만건의 개인정보가 유출된 후폭풍이 진행 중이다. 유출된 개인정보는 성명, 이메일, 휴대·직장·자택전화, 주민번호, 직장·자택주소, 직장정보, 주거상황, 카드이용실적금액, 카드결제계좌, 카드결제일, 연소득, 카드신용한도금액, 카드신용등급 등 최대 20건이다. 이 중 카드이용실적금액과 카드신용한도금액은 타사의 기록까지 포함해 은행과 카드사들의 무분별한 개인 정보취득의 수준을 파악할 수 있게 한다. 개인신상이 거의 알몸 수준이 될 때까지 다 털린 셈이다. 시민들은 카드사 홈페이지의 안내문에서 개인정보 유출시점이 최근이 아니라 ‘재작년 10월’ 또는 ‘작년 6월’이라는 사실을 알고 더욱 놀랐을 것이다. 잠재적 피해자들이 개인정보 유출에 따른 피해 방지를 위해 신용카드를 해지하고 재발급을 받으라고 하지만 이마저 쉽지 않다. 관련 콜센터, 홈페이지는 하루 종일 먹통이었다. 짬을 내 일선 영업점을 찾아가도 어렵다고 한다. 결국 신용카드 해지·재발급자는 지난 21일 현재 겨우 115만명에 불과했다. 또한, 이번 사태가 신용카드 3사의 보안의식 부재로 발생한 인재(人災)임에도 시민들에게 카드 재발급 비용을 청구한 배짱이 놀랍다. 이러니 신용카드 3사의 ‘피해발생 시 전액 보상한다’는 약속을 믿을 수 있을까 싶다. 현행법에 따르면 ‘정보유출에 따른 부정사용’ 여부를 입증할 책임이 소비자에게 있고, 특히 해외에서 발생하는 스미싱, 보이스피싱에 의한 부정사용을 입증하기란 불가능한 탓이다. 그러니 카드사의 대책이 그저 성난 민심을 가라앉히려는 시도인 게 아닌가 하는 의구심을 지울 수 없다. 현재 눈앞의 금전적 피해도 문제이지만 미래에 유출된 개인정보가 범죄에 어떻게 활용될지 몰라 불안하다는 점에서, 개인 정보유출 그 자체가 시민들에게 심각한 정신적 피해를 주고 있다는 점을 신용카드 3사와 금융당국은 깨달아야 한다. 금융당국은 어제 고객 정보 유출로 사회적 물의를 일으킨 금융사의 최고경영자(CEO)는 해임하고, 불법 유통된 개인정보를 활용해 영업 활동을 한 금융사는 매출의 1%까지 징벌적 과징금을, 개인정보를 불법 유출한 금융사도 최대 50억원의 과징금을 내도록 한다는 내용의 대책을 내놓았다. 그러나 수시로 출몰하는 ‘개인정보 불법거래 암시장’을 근절할 수 있는 대책으로는 부족하지 않으냐는 평가가 더 많다. 한마디로 민심무마용 졸속대책이니 더 고민해 새로 짜야 한다는 것이다. 신제윤 금융위원장은 이번 사태를 두고 “책임질 일이 있으면 지겠다”고 했다. 금융당국은 그간 솜방망이 처벌로 불법 개인정보 거래를 키워온 점과 관리 감독에 소홀한 점, 사태의 심각성을 인식하지 못한채 늑장 대응한 점 등을 맹성하고 책임 있는 조치를 취하기 바란다.

‘난 네가 2011년 4월에 한 일을 알고 있다.’ 1억 400만건의 고객 정보가 유출된 이번 ‘카드 사태’의 책임론에서 한발 비켜 서 있는 금융 당국에 대한 비판이 제기되고 있다. KB국민카드, NH농협카드, 롯데카드 등 카드 3사와 코리아크레딧뷰로(KCB) 최고경영자(CEO)의 줄사퇴에 이어 다음 달 전직 임원과 지주사 경영진 문책까지 예고된 상황에서 책임의 한 축인 금융 당국이 ‘갑’(甲)의 위치에서 연대 책임을 떠넘기려는 모습을 보여서다. 신제윤 금융위원장도 21일 이를 의식한 듯 “내가 책임질 일이 있으면 책임지겠다”고 말했다. 지난 8일 검찰의 중간수사 발표 이후 금융 당국 수장이 책임을 언급한 것은 처음이다. 최수현 금융감독원장에 대한 책임론도 불거졌다. 김상민 새누리당 의원은 “이번 사태의 근본 원인은 기업의 부실한 개인 정보 관리와 함께 금감원의 관리 감독 부실, 국민의 개인 정보 보호를 소홀히 한 정부에 있다 ”면서 “금감원장이 이번 사태의 총체적 책임을 져야 한다”고 지적했다. 고객 정보 유출에 대한 금융 당국의 과거 대처 내용을 들여다보면 이번 카드 사태가 ‘민관 합작품’으로 해석될 수 있는 대목이 적지 않다. 금융사의 보안을 무디게 한 책임이 금융 당국에 있기 때문이다. 2011년 4월로 거슬러 올라가 보자. 같은 달 19일 금융위원장과 금융감독원장은 국민적 관심사로 떠오른 농협과 현대캐피탈의 고객 정보 유출 사태를 수습하기 위해 간담회를 열고 금융지주사 회장 등에게 보안 점검과 대책 마련을 당부했다. 또 금융 정보기술(IT) 보안 강화를 위한 태스크포스(TF)도 구성했다. 이어 내부 통제 개선과 외주 용역 관리 개선을 담은 ‘금융 IT 보안 강화 종합대책’이 발표됐다. 당시 김석동 금융위원장은 “금융사에서 심각한 IT 보안 사고가 발생하면 CEO가 직접 책임을 지도록 하겠다”고 밝혔다. 그러나 엄포로 끝이 났다. 고객 정보 175만건을 유출한 현대캐피탈의 정태영 사장은 ‘주의적 경고’에 그쳤다. 2011년 8월 고객 정보 5만건이 유출된 하나SK카드의 이강태 사장도 주의적 경고를 받아 비씨카드 사장으로 자리를 옮길 수 있었다. 징계 여부에 따라 사장 취임이 불명확했지만, 금융 당국의 솜방망이 처벌로 비씨카드 CEO에 올랐다. 고객 정보 47만건이 털린 삼성카드의 최치훈 사장도 주의적 경고를 받고 유임에 성공했다. 장병완 민주당 정책위의장은 “2011년 개인 정보 유출 사고를 일으킨 농협과 현대캐피탈 등 4개 금융기관에 내려진 제재는 고작 기관 경고와 감봉, 과태료 600만원에 그쳤다는 점에서 금융 당국에 1차적 책임이 있다”고 지적했다. 금융업계 관계자는 “금융 당국이 책임이 없는 것처럼 금융사에 호통만 치는 것은 잘못됐다”고 꼬집었다. 지난 8일 검찰의 중간 수사 발표 이후에도 금융 당국의 태도는 뜨뜻미지근했다. 그러나 지난 14일 오전 신 위원장이 국무회의에 참석한 뒤 갑자기 바빠졌다. 신 위원장은 같은 날 오후 최 원장과 금융지주 회장을 포함한 금융업계 CEO 간담회를 갑작스레 열었다. 또 고객 정보 보호 정상화 TF가 구성됐다. 김경두 기자 golders@seoul.co.kr

국민·농협·롯데카드 영업정지 3개월…재발하면 매출액 1% 징벌적 과징금 대규모 고객 정보 유출 사태의 재발을 막기 위해 앞으로 금융사의 과도한 개인정보 보유나 공유가 금지된다. 개인정보 유출로 사회적 파문을 일으키면 금융사 최고경영자(CEO)까지 해임 뿐만 아니라 매출액의 1%에 달하는 징벌적 과징금까지 내야 한다. 이번에 1억여건의 고객 정보 유출 사태를 일으킨 국민카드, 롯데카드, 농협카드는 최고경영자 해임 권고 및 영업 정지 3개월의 중징계를 받을 전망이다. 정부는 22일 이런 내용의 ‘금융권 개인정보보호 종합대책’을 22일 발표했다. 이번 조치는 최근 카드사에서 1억여건의 고객 정보가 유출되면서 전 국민의 불안감이 갈수록 커지고 있는데 따른 것이다. 금융당국 관계자는 “그동안 금융사들이 불필요한 고객 정보를 보유하고 제3자와 공유하고 있어 이를 제한하고 해당 금융사 CEO까지 중징계해 앞으로 다시는 이런 일이 재발하지 않도록 하는데 중점을 두고 있다”고 밝혔다. 이번 대책은 과도한 개인정보 요구 관행 개선, 카드 해지 후 개인정보 삭제, 불법 유출 정보의 마케팅 대출모집 활용 차단, 정보 유출 금융사에 대한 징벌적 과징금 및 처벌 강화가 핵심이다. 우선 고객의 2차 피해를 막고자 정보 유출 카드사가 무료로 결제내역 확인문자 서비스를 제공하고 한국크레딧뷰로(KCB)는 1년간 개인정보보호서비스를 제공한다. 카드번호와 유효기간만으로 결제가 가능한 학습지나 홈쇼핑의 경우 확인 전화, 휴대전화 인증 등 추가 본인 확인 수단을 도입하는 방안을 검토하기로 했다. 금융당국은 성명, 주소 등 필수 정보와 신용 등급 산정에 필요한 정보 외에는 특별한 경우가 아니면 금융사들이 수집하지 못하도록 할 방침이다. 또 현재 5~10년인 금융사의 개인신용정보 보유 기간을 ‘거래 종료일로부터 5년’으로 제한하는 방안이 추진된다. 거래가 종료된 고객 정보는 방화벽을 설치해 별도로 분리하고 영업조직의 접근 마케팅 활용이 제한된다. 거래 종료 고객이 요청하면 불필요한 자료를 삭제하고 보관이 필요한 정보는 암호화해 별도 보관하도록 할 방침이다. 금융당국은 고객 정보를 금융지주 계열사나 제3자와 공유하는 행위도 고객의 사전 동의를 받도록 할 방침이다. 제3자가 취득한 정보 활용기간은 5년 또는 서비스 종료 시 등 구체적으로 명시하고 마케팅 목적의 활용은 원칙적으로 제한하기로 했다. 금융사가 제3자에 무작위로 정보를 제공하는 행위를 막기 위해 고객이 정보제공을 원하는 제3자에만 정보 공유가 가능하도록 할 계획이다. 금융지주 그룹 내에서는 고객의 사전 동의 없이 외부 영업에 활용하지 못하도록 하고 신용위험관리 등 내부 목적으로만 쓰도록 했다. 국민카드처럼 분사할 경우 현재 고객이 아니면 별도 방화벽을 마련하도록 했다. 대출모집인이 불법 유출 정보를 활용해 영업하면 자격을 박탈하고 해당 금융사에 대해 기관 제재, 과징금을 부과하기로 했다. 현행 과징금 600만원, 주의적 경고 수준에 그치는 금융사 정보 유출에 대한 제재 수준도 크게 올라간다. 불법 수집·유통된 개인 정보를 활용해 영업 활동을 한 금융사는 매출액의 1%까지 과징금을 부과하기로 했다. 매출이 1조원이라면 최대 1000억원의 과징금 폭탄을 맞을 수 있다. 제재 규정을 개정해 유출된 개인 정보 건수에 따라 임원 해임 등 양형 기준을 강화하기로 했다. 금융사 제재도 최대 영업정지 3개월에서 6개월로 늘어나고 KCB와 같은 신용정보사에 대해서도 영업정지 등 기관 제재가 도입된다. 이번 정보 유출 카드사에 대해서는 법령상 최고 수준인 영업 정지 3개월의 제재와 더불어 사고 발생 시의 전·현직 임직원에 대해 해임권고, 직무 정지 등의 중징계를 부과할 예정이다. 온라인뉴스부 iseoul@seoul.co.kr

카드사 영업정지 임박…최소 3개월 정지 유력 대규모 고객 정보 유출 사태의 재발을 막기 위해 앞으로 금융사의 과도한 개인정보 보유나 공유가 금지된다. 개인정보 유출로 사회적 파문을 일으키면 금융사 최고경영자(CEO)까지 해임되는 법적 장치가 마련된다. 정부는 22일 이런 내용을 담은 ’금융권 개인정보보호 종합대책’을 22일 발표했다. 최근 카드사에서 1억여건의 고객 정보가 유출되면서 전 국민의 불안감이 갈수록 커지고 있는 데 따른 것이다. 금융당국 관계자는 “그동안 금융사들이 불필요한 고객 정보를 보유하고 제3자와 공유하고 있어 이를 제한하고 해당 금융사 CEO까지 중징계해 앞으로 다시는 이런 일이 재발하지 않도록 하는데 중점을 두고 있다”고 밝혔다. 이번 대책에는 과도한 개인정보 요구 관행 개선, 카드 해지 후 개인정보 삭제, 불법 유출 정보의 마케팅 대출모집 활용 차단, 정보 유출 금융사에 대한 징벌적 과징금 및 처벌 강화가 핵심이다. 금융당국은 성명, 주소 등 필수 정보와 신용 등급 산정에 필요한 정보 외에는 특별한 경우가 아니면 금융사들이 수집하지 못하도록 할 방침이다. 금융사의 개인신용정보 보유 기간을 ‘거래 종료일로부터 5년’으로 제한하는 방안이 추진된다. 거래가 종료된 고객 정보는 방화벽을 설치해 별도로 분리하고 영업조직의 접근 마케팅 활용이 제한된다. 고객 정보를 금융지주 계열사나 제휴사와 공유하는 행위도 고객의 사전 동의를 받도록 할 방침이다. 제휴사가 취득한 정보 활용기간은 5년 또는 서비스 종료시 등 구체적으로 명시하고 마케팅 목적의 활용은 원칙적으로 제한하기로 했다. 금융사가 제휴업체에 무작위로 정보를 제공하는 행위를 막기 위해 고객이 정보제공을 원하는 제휴업체에만 정보 공유가 가능하도록 가입 신청서가 개정된다. 카드를 해지하면 해당 금융사가 최소한의 유예기간만 두거나 곧바로 개인정보를 삭제하는 방안도 추진한다. 외부 용역업체 직원에 대한 교육 및 내부 통제도 강화된다. 대출모집인이 불법 유출 정보를 활용해 영업하면 자격을 박탈하고 해당 금융사에 대해 기관 제재, 과징금을 부과하기로 했다. 현행 과징금 600만원, 주의적 경고 수준에 그치는 금융사 정보 유출에 대한 제재 수준도 크게 올라간다. 사고 발생시 전·현직 관련 임직원에 대해 해임 권고, 직무 정지 등 중징계가 부과된다. 신용정보법 등의 개정을 통해 과징금을 수십억대까지 올리고 CEO까지 해임 권고가 가능하도록 바꿀 방침이다. 징벌적 과징금을 수백억원까지 가능하도록 해 금융사에 큰 부담이 되도록 할 예정이다. 이번 정보 유출 카드사에 대해선 법령상 최고 수준인 영업 정지 3개월의 제재를 내달 중에 내릴 예정이다. 온라인뉴스부 iseoul@seoul.co.kr

카드 3사가 한 해 수십억원 정도 들어가는 보안 비용을 아끼려다 그보다 10배 이상의 비용을 토해 내는 상황에 직면했다. 수십만건의 카드 재발급 비용을 포함해 향후 집단 소송에서 패소한다면 천문학적인 손해 배상금을 물을 수밖에 없는 상황이다. 금융감독원에 따르면 21일 오후 6시 기준으로 카드 재발급을 신청한 고객은 NH농협카드가 52만 5000명, KB국민카드가 24만 6000명, 롯데카드가 20만 2000명 등으로 집계됐다. 카드 한 장당 재발급 비용이 5000원 수준이니 현재까지 재발급 비용만 50억원에 육박하고 있다. 카드 재발급 신청이 계속 증가하고 있어 비용은 더 늘어날 것으로 보인다. 현재까지 법인과 사망자를 뺀 개인정보 유출 건수만 8245만여건으로, 이것이 모두 재발급으로 이어진다면 최대 4122억원 수준이다. 집단 소송이 진행되면서 이에 대한 손해배상 부담도 떠안을 가능성이 있다. 지난 20일 피해 고객 130여명의 공동 소송을 제기한 법무법인 조율의 신용진 변호사는 “소송을 제기한 피해 고객 1명당 카드사를 상대로 60만원의 정신적 피해보상 등을 요구했다”면서 “네이트의 고객 정보 유출 때는 1명당 20만원의 손해배상 판결이 나왔는데 이번에는 정보 유출 상황이 더 크니 손해배상 정도도 더 클 것으로 전망된다”고 말했다. 카드사의 신뢰도 하락에 따른 비용 부담은 돈으로 따질 수 없는 부분이다. 개인정보 유출로 정보기술(IT) 보안 강화에 따른 추가 비용과 함께 이미지 쇄신에 따른 마케팅 비용도 늘어난다. 카드 3사만이 아니라 전 금융권이 위기의식으로 IT 보안 투자를 늘릴 수밖에 없다. 카드업계 고위 관계자는 “이번 사태로 금융 당국이 정보 보호 규제를 강화할 것으로 보이기 때문에 업계 전체로 보면 비용이 추가로 발생하는 상황”이라고 말했다. ‘금융회사 정보기술 부문 보호업무 모범규준’에 따르면 금융사는 자체 IT 인력을 5% 이상 확보하고 IT 예산 7% 이상을 정보 보호에 투자해야 한다. KB국민은행 등 은행권의 연간 IT 예산은 2000억~3000억원 수준으로, 이 가운데 정보 보호예산(7% 이상)은 200억원 안팎이다. 카드사는 이보다 적은 100억원 미만으로 추정된다. 하지만 최고경영자(CEO)의 성향에 따라 이마저도 투자를 안 하는 곳이 수두룩하다는 게 업계의 진단이다. 김인석 고려대 정보보호대학원 교수는 “금융사들은 단순한 PC 유지 보수 인력도 정보 보호 인력으로 포함시킨다”면서 “정보 보호 예산도 인건비를 포함하거나 연수 예산을 과다하게 포함시키는 등의 방법으로 기준을 맞추는 데 급급하다”고 지적했다. 김진아 기자 jin@seoul.co.kr 김경두 기자 golders@seoul.co.kr

카드사의 개인정보 유출로 인해 20일 전국의 은행 지점과 카드 3사의 고객센터는 카드 해지와 재발급을 위한 고객으로 하루 종일 시끄럽고 분주했다. 더구나 고객 정보 유출에 따른 2차 피해 추정자들이 나타났다는 주장이 나왔고, 이에 대해 금융당국은 “사실이 아니다”라고 거듭 해명하며 혼돈이 이어졌다. 특히 2차 피해가 없다는 금융 당국의 설명은 ‘부정 사용 징후가 신고되거나 포착되지 않았다’는 정황 증거뿐이라 온갖 ‘설’(說)들이 끊이지 않으면서 금융 소비자들의 불안감을 부추겼다. 금융 거래에 대한 신뢰 기반이 흔들리고 있는 것이다. 금융 당국은 2차 피해 추정자 발생에 대해 “관련이 없다”는 단호한 입장을 내놓고 있다. 검찰 수사 결과 외부로 개인정보가 유출된 일이 없다고 밝힌 데다 2차 피해 사례가 있더라도 이번 사건의 정보 유출에 따른 것인지 아니면 이전 정보 유출에 의한 것인지 따져 봐야 한다는 이유에서다. 금융 당국 고위 관계자는 “카드 3사 중 롯데카드에서만 2차 피해를 입었다는 주장이 나왔지만 롯데카드 측은 2차 피해가 아니라고 해명했고 다른 카드사에서는 아직 그런 사례가 나오지 않았다”고 밝혔다. 이어 “검찰 수사에서도 계좌 추적 결과 정보 유출 거래로 인한 금전적 이득이 없었다고 발표한 만큼 2차 피해 가능성은 없다”고 강조했다. 신제윤 금융위원장도 “개인정보가 유출됐지만 유통은 되지 않았다”면서 “매우 희박한 가능성 때문에 내 카드가 부정 사용될 것이라는 불안감을 가질 필요는 없다”고 말했다. 이어 “만에 하나라도 피해가 발생하면 카드사가 무조건 배상하기로 했다”고 덧붙였다. 그러나 금융 당국이 제시한 근거 중 직접적인 물증은 하나도 없었다는 점에서 여전히 의혹의 시선이 적지 않다. 윤석헌 숭실대 금융학부 교수는 “금융은 신뢰가 기본 바탕이어서 이번 사태가 더욱 충격적으로 다가오는 것”이라면서 “카드사들이 이번 사태를 계기로 철저한 대책을 마련하고 고객들도 차분하게 대응해야 한다”고 말했다. 줄소송도 이어질 전망이다. 정보 유출 피해자 130여명은 이날 카드 3사를 상대로 서울중앙지법에 정신적 피해 보상 등을 요구하며 소송을 제기했다. 법무법인 평강도 카드 3사와 코리아크레딧뷰로(KCB)를 대상으로 정보 유출 피해자 1인당 50만원씩을 청구하는 소송을 준비 중이라고 밝혔다. 평강 측은 “소송 관련 카페를 개설한 지 일주일 만에 회원 수가 1000명을 넘어섰다”면서 “금융 당국의 발표와 달리 2차 피해가 이미 현실화되고 있으며 갈수록 교묘해지는 보이스피싱과 스미싱은 한층 더 국민을 괴롭힐 것”이라고 지적했다. 금융소비자연맹도 “정보가 유출된 신용카드를 모두 재발급하고 연회비 면제, 수수료 면제, 할부 이자 감면 등의 실질적인 보상 방안을 내놔야 한다”면서 “이에 미흡하면 공동 소송을 진행하겠다”고 밝혔다. 금융 당국 관계자는 “그동안 금융사 최고경영자(CEO)들이 보안은 비용만 들어갈 뿐 이익을 창출하지 못한다고 생각해 이번 사태가 벌어졌다”며 “사태 수습 과정에서 고객 이탈과 회사 이미지 추락 등을 겪으면서 금융사 스스로가 보안에 신경 쓰는 계기가 될 것”이라고 밝혔다. 이번 사태로 징벌적 과징금 도입도 추진된다. 신 위원장은 “앞으로 징벌적 과징금을 부과하는 방안을 도입하겠다”면서 “현재 운용되고 있는 개인정보보호 태스크포스(TF)에서 법 개정 방안 등을 통해 이를 추진하도록 할 계획”이라고 밝혔다. 김경두 기자 golders@seoul.co.kr 김진아 기자 jin@seoul.co.kr

KB국민카드와 NH농협카드, 롯데카드 등 카드 3사의 고객 정보 유출이 국민 ‘신상털기’ 수준인 것으로 드러났다. 카드론을 포함한 대출 정보 외에도 카드 3사와 연결된 시중은행의 고객계좌 정보도 털린 것으로 확인됐다. 정보 유출 피해자 명단에는 대통령과 거의 모든 부처 장·차관, 기업 최고경영자(CEO), 국회의원, 연예인 등이 포함된 것으로 알려졌다. 피해자가 최대 2000만명으로 사실상 경제활동을 하는 모든 사람의 개인 신상 정보가 털린 셈이다. 불안감에 휩싸인 고객들이 지난 17~19일 각 카드사 홈페이지에 접속해 정보 유출을 확인한 결과 기본 인적사항을 포함해 최대 19개의 개인 신상 정보가 털렸다. 일부 고객은 여권번호와 신용등급, 연소득, 신용한도 금액 등도 유출됐다. 카드 3사는 부인하고 있지만 금융계에서는 신용카드 번호와 유효 기간, 결제 정보, 신용한도, 주민번호, 연소득 등이 한꺼번에 유출돼 신용카드 복제가 가능한 수준으로 보고 있다. 검찰 발표와 달리 ‘보이스피싱’과 ‘스미싱’(신종 문자결제 사기), ‘파밍’(악성코드에 감염된 사용자 PC를 조작해 금융 정보를 빼내는 사기) 등 2차 피해가 현실화될 가능성이 있는 것이다. 금융감독원은 이날 이 같은 피해 가능성에 대비해 ‘금융소비자 경보’를 발령했다. 시중은행의 개인 정보도 일부 유출된 것으로 확인됐다. 고객 정보 1억 400만건이 유출되는 과정에서 카드 3사와 연계된 KB국민은행과 NH농협은행의 고객계좌 정보 등이 빠져나갔다. 롯데카드는 결제은행으로 모든 시중은행이 가능해 국내 모든 은행의 계좌 정보가 노출됐다는 해석도 나온다. 카드 3사의 허술한 뒤처리도 도마에 올랐다. 검찰의 중간수사 발표 이후 사후 대처 미흡으로 질타를 받았음에도 고객 정보 유출 확인 서비스에서 다시 허점을 드러냈다. 일부 카드사는 홈페이지에서 주민등록번호 앞자리 6개만 입력해도 유출 정보를 확인할 수 있는 시스템을 구축해 본인 정보 여부를 수차례 확인하게 만들었다. 대검찰청은 이날 “범죄조직 등에 개인정보가 2차 유출된 사실은 확인되지 않았다”고 밝혔다. 한편 금감원이 카드 3사 외에 지난해 씨티은행과 한국SC은행에서 13만명의 고객정보가 유출된 사건을 조사한 결과 시중은행 고객 24만명과 저축은행 2000명, 캐피탈 등 여신전문금융사 11만명 등 총 36만명의 개인정보가 빠져나간 것으로 확인됐다. 김경두 기자 golders@seoul.co.kr

“내 개인 정보는 단돈 500원짜리….” 허술한 보안을 틈타 개인정보를 사고파는 정보 유통시장이 날로 커지고 있다. 대출중개업체나 무등록 대부업자 등은 물론 전화금융사기(보이스피싱) 조직이나 불법 도박사이트 업체 등 개인정보를 토대로 장사를 하는 곳에서 개인정보를 무차별적으로 수집하기 때문이다. 금융사와 직접 계약을 맺고 고객정보에 접근할 수 있는 대출모집인이나 금융사의 정보보안을 담당하는 외주업체 직원들이 이들의 주요 표적이다. 대출모집인 이모(41·여)씨는 “대출모집법인(에이전시)을 상대로 고객 데이터베이스(DB)를 사거나, 다른 데서 사온 DB를 파는 브로커들이 개인정보 유통시장의 중심에 있다”고 말했다. 개인정보가 거래되는 시장에서는 고객의 이름과 전화번호만 나와 있는 정보는 단순 DB, 대출이력이나 신용등급이 나와 있는 정보는 고급 DB로 분류돼 가격이 매겨진다. 업계 관계자는 “전화번호만 있으면 텔레마케팅(TM)을 할 수 있는 대리운전업체나 도박 사이트가 건당 10~50원에 단순 DB를 사가고, 보통 얼마나 최신 정보인가에 따라 100~500원의 가격이 매겨진다”면서 “그중에서도 고급 DB는 주로 대부업체의 표적이 된다”고 말했다. 업계에 따르면 대출 기록이 있거나 앞으로 대출 가능성이 높다고 여겨지는 집단의 DB는 건당 5000~2만원의 높은 가격에 거래되기도 한다. 주민등록번호와 자택, 직장 주소, 과거 대출을 받은 이력이나 신용등급 등이 포함된 정보는 ‘부르는 게 값’이다. 금융사들의 보안 장벽이 높아지면서 개인정보를 유출하는 방법도 진화하고 있다. 3~4년 전까지는 중국에 본거지를 둔 해킹 전문가들이 국내 금융사 DB를 해킹하는 수법이 주를 이뤘지만 최근에는 금융사 내외부의 직원들에게 접근해 직접 정보를 빼오는 방식이 주로 사용된다. 최근 카드사 정보 유출 역시 외주업체 직원이 이동식 저장장치(USB)에 개인정보를 담아 대출광고업자와 대출모집인에게 돈을 받고 넘긴 것으로 드러났다. 지난해 12월 한국SC은행과 한국씨티은행의 고객정보 유출 역시 대출모집인이 저지른 일이었다. 한 은행의 정보보안 관계자는 “‘열 포졸이 도둑 한명을 못 잡는다’는 말도 있듯이 아무리 보안 장치를 강화해도 작정하고 정보를 빼가는 직원들을 사전에 미리 파악해 차단하기란 쉽지 않다”고 말했다. 잊을 만하면 반복되는 금융사 고객정보 유출 사건의 근본적인 원인은 개인정보 보호에 둔감한 기업들의 무관심이라는 지적도 나온다. 금융사들의 정보 보호 불감증을 틈타 금융사 내부직원이나 외주업체 용역직원이 유출한 개인정보가 대출중개업계나 전화금융 시장에 팔리는 등 활발히 거래되고 있기 때문이다. 금융권 관계자는 “CEO부터가 정보 보안을 비용만 발생하는 것으로 봐 개인정보보호책임자(CPO)의 전문성 등을 키울 생각이 없는 데다가 직원들도 정보 보안 부서를 한직으로 여겨 가고 싶어 하지 않고 외주업체에 맡기면 된다고 여기는 게 현실”이라고 지적했다. 다른 금융당국 관계자는 “정보 보안과 관련해 각 사마다 그럴듯한 규정은 정해져 있지만 그것을 지키지 않는 게 문제”라면서 “CEO들이 이번 사태처럼 고객의 개인정보가 유출되면 회사의 신뢰도가 떨어지고 손해배상 비용이 생기는 등 사태 해결에 더 큰 비용이 든다는 점을 인식해야 한다”고 말했다. 특히 이번에 사상 최대인 1억건 이상의 정보유출이 발생했던 NH농협카드 등 3개사는 정보가 이미 새어 나갔는데도 7~14개월이 되도록 유출사실조차 모르고 있던 것으로 드러나 평소 고객 개인정보 관리에 소홀했다는 지적을 받았다. 금융감독원이 지난해 8월 만든 금융 분야 개인정보보호 가이드라인에 따르면 금융사는 개인정보 유출이 발생한 지 5일 이내에 피해 고객에게 개별적으로 사실을 알리고 홈페이지에 밝혀야 한다. 정보 유출 카드사의 한 관계자는 “이번 사건은 내부직원이 아니라 전산 위탁을 맡은 외주업체 직원이 계획적으로 벌인 일이라 사전에 유출 사실을 간파하기가 쉽지 않았다”고 말했다. 해당 카드사들은 다음 주부터 정보 유출 고객에게 피해 사실을 통보하겠다고 밝혔지만 이미 정보가 새어 나간 지 오래라 전화금융사기 등 2차 피해에 대한 우려가 커지고 있다. 다른 카드사의 한 관계자는 “대규모 정보유출 사건이 있을 때마다 기승을 부리는 게 카드사를 사칭해 ‘개인정보가 유출됐으니 주민번호를 대고 확인하라’는 전화사기”라면서 “이 같은 2차 사기에 각별히 조심할 필요가 있다”고 말했다. 이번 유출사건을 피해 간 다른 금융사들도 정보 보안에 대한 민감도가 낮은 것은 마찬가지다. 몇몇 카드사들은 소비자들의 불안심리를 틈타 슬그머니 유료 신용정보 보호서비스 판매를 재개해 비난을 받기도 했다. 신한, 삼성, 우리카드는 사고 직후 금융당국의 요청에 따라 해당 서비스 판매를 중단했다가 이틀 만에 재개했고 현대카드는 사고 이후 줄곧 유료 서비스를 판매하고 있다. 이미 한 차례 뭇매를 맞았던 보험사는 그나마 사정이 조금 나은 편이다. 카드사와 외국계 은행에 앞서 지난해 대규모 고객정보 유출 사건을 일으켰던 메리츠화재와 한화손해보험은 이후 고객 개인정보 보호 수위를 한 단계 강화했다. 메리츠화재는 각 영업지점에서 고객의 개인정보를 일주일마다 암호화하도록 했다. 암호화 작업을 거치지 않은 고객의 개인정보는 자동으로 파기된다. 메리츠화재 관계자는 “보안 강화로 예전보다 업무에 많은 제약이 있어 불편하긴 하지만 지난해 정보유출 사건 이후 고객 개인정보 관리가 워낙 중요하다는 데 직원들이 공감해 보안 강화를 받아들이고 있다”고 말했다. 한화손해보험은 사내 정보보호위원회를 개인정보 보호, IT정보 보호, 일반 보안의 3개 영역별로 나눠 각 영역에 책임자를 두고 있다. 이 외에도 현재 카드사 정보유출의 원인이었던 위탁업체를 반기마다 점검하기로 했다. 윤샘이나 기자 sam@seoul.co.kr 김진아 기자 jin@seoul.co.kr

금융당국의 솜방망이 처벌과 법원의 관대한 판결이 결과적으로 금융사의 고객 정보 관리 소홀을 가져왔다는 비판이 나온다. 고객 정보가 유출될 때마다 고작 수백만원대의 과태료와 주의 등으로 끝낸 것이 금융사의 ‘보안 해제’로 이어졌다는 지적이다. 17일 금융업계에 따르면 지난 3년간 금융사의 고객 정보가 유출된 건수는 총 1억 700만여건으로 집계됐다. 은행부터 카드와 보험, 제2금융권까지 금융권의 전 업종이 한 차례 이상 털렸다. 유출 경로도 내부 직원이 다섯 차례, 외주 직원 두 차례, 외부 해킹이 두 차례로 조사됐다. 이에 대해 강형구 금융소비자연맹 금융국장은 “최고경영자(CEO) 처벌 수위를 강화하고 영업 정지라는 강력한 칼을 빼 들어야 한다”면서 “금융기관 경영평가에서 보안과 고객 정보 보호 관리를 주요 항목으로 다뤄야 할 때”라고 지적했다. 실제로 고객 정보 유출에 대한 금융당국의 제재를 보면 한심한 수준이다. ‘다음부터 잘하라’는 주의와 함께 실무자 처벌로 끝내는 사례가 대부분이었다. 2011년 7월 하나SK카드사에서 내부 직원이 고객 정보 9만여건을 빼돌린 뒤 이를 넘겨받은 외부 직원이 “고객 100만명의 개인 정보를 입수했으니 사장을 연결해 달라”며 회사를 협박하는 일도 있었다. 그러나 금융당국의 제재는 기관 주의와 과태료 600만원, 임원 주의 등의 경징계에 그쳤다. 2011년 4월 외부 해킹으로 고객 정보 175만건이 유출된 현대캐피탈 사건도 결국 기관 경고에 ‘임원 주의적 경고’로 마무리됐다. 일각에서는 법률을 개정해 고객 정보 유출에 대한 징벌적 과징금 도입과 형사 처벌도 가능하도록 해야 한다고 주장한다. 사법부도 사정은 마찬가지다. 2010년 1월 외부 해킹으로 개인 정보가 유출된 옥션 가입자 14만여명이 낸 집단소송에서 법원은 옥션의 손을 들어 줬다. 2008년 GS칼텍스 정보 유출 사건에서도 대법원은 GS칼텍스 보너스카드 가입자 7675명이 낸 손해배상 청구 소송에서 원고 패소 판결을 한 원심을 확정했다. 김경두 기자 golders@seoul.co.kr

은행과 카드사의 어처구니없는 고객정보 유출 사건이 잇따라 터져도 속수무책이던 금융당국이 뒤늦게나마 발 빠르게 움직이고 있습니다. 하루 간격으로 금융사 최고경영자(CEO)와 정보보안 책임자를 불러들여 긴급 간담회를 열었습니다. 그런데 간담회에서 오간 대화를 보면 당국이 말하는 대책이 공허한 호통 같다는 느낌입니다. 근본적인 해결책을 내놓지도 못하면서 ‘영원한 갑(甲)’으로서 일방적인 비난과 질책만 하고 있기 때문입니다. 신제윤 금융위원장은 지난 14일 금융사 CEO와 협회 관계자 22명을 급하게 불러들였습니다. 참석자들은 오후 3시에 시작된 간담회를 불과 두세 시간 앞두고 호출을 받았다고 합니다. 이 자리에서 신 위원장은 “회사는 물론 CEO를 포함한 업무 관련자에게 엄정하게 책임을 묻겠다”면서 금융사 CEO들에게 사실상 최후통첩을 했습니다. 이달 말까지 금융사별로 개인정보 보안 추진 현황과 보안 강화 노력 등을 파악해 보고하라는 숙제도 내줬습니다. 지난 13일 은행, 카드사, 보험사 등의 정보보호 책임 담당자들을 긴급 소집한 금융감독원의 간담회도 마찬가지입니다. 이날 금감원이 참석자들에게 나눠준 ‘고객정보 유출방지를 위한 금융회사 유의사항’은 2011년 6월 현대캐피탈 정보유출 사건 이후 내놓은 정보기술(IT) 보안 대책을 되풀이한 데 그쳤습니다. 내부통제 및 외주직원 관리 강화, CEO를 포함한 책임자 제재 수위 강화 등은 이미 재탕, 삼탕한 내용이라는 지적이 곧바로 나왔습니다. 90여명의 금융사 정보보호 책임자들이 참석한 이날 회의는 별도의 토론이나 질문 없이 20분 만에 끝났습니다. 한 참석자는 “당국에서도 뾰족한 대책 없이 일단 불러모은 것 같다”고 했습니다. 금융당국은 금융사의 허술한 개인정보 보호 노력을 감독하고 지도해야 할 기관으로서 당연히 해야 할 일을 했다는 입장입니다. 정보 유출의 책임을 1차적으로 해당 금융사에 묻는 것도 당연한 조치입니다. 하지만 정보 유출 사고의 피해자가 된 국민들은 ‘사후약방문식’ 처벌보다는 신속한 피해구제와 재발방지 대책이 나오기를 바라고 있습니다. 당국은 금융위와 금감원, 금융 보안기관 관계자로 구성된 개인정보보호 대책 태스크포스(TF)를 만들어 관련 법규를 재정비하기로 했습니다. 개인정보보호법과 신용정보 이용·보호법, 전자금융거래법으로 흩어져 있는 개인정보 유출자 처벌 규정 등을 통일한다는 계획입니다. TF는 17일 첫 회의를 갖습니다. 이번에는 금융당국 수장의 ‘호통’이 공허하게 들리지 않도록 국민들이 믿을 만한 대책이 나오기를 기대합니다. 윤샘이나 기자 sam@seoul.co.kr

금융당국이 최근 일어난 고객 개인정보 유출사건과 관련된 카드사 최고 경영자(CEO)의 해임까지 권고할 계획이라고 밝혔다. 금융위원회는 14일 최수현 금융감독원장을 포함해 금융지주사 회장과 협회장, 업권별 주요 금융사 CEO 20여명을 불러 고객 정보 유출 관련 긴급 간담회를 열었다. 신제윤 금융위원장은 “금융시스템의 신뢰를 손상하는 행위에 대해서는 엄중한 제재를 적용할 것”이라면서 “해당 회사는 물론 CEO를 포함한 업무 관련자에게 엄정하게 책임을 묻겠다”고 밝혔다. 이어 “금융회사들이 아직도 개인정보 보호 문제와 관련해 통렬한 반성과 개선 노력을 기울이지 않았음을 방증하는 것”이라면서 “특히 CEO의 관심과 열의가 미흡했다고 판단된다”고 지적했다. 금융당국은 개인정보 보호 담당 임직원에 대한 징계만이 아니라 카드사 CEO의 징계까지 고려하고 있다. 금융당국 고위 관계자는 “현재 진행되고 있는 금감원의 카드사 검사 결과 후 해당 카드사 CEO의 해임을 권고할 방침”이라고 말했다. 금융당국에 따르면 관련 법상 최고 징계 수준은 금융사의 경우 영업정지, 임직원의 경우 해임 권고다. 긴급 간담회에 참석한 임영록 KB금융지주 회장과 임종룡 NH농협금융지주 회장 등은 “(정보유출) 사고 발생에 대해 국민들에게 송구스럽게 생각하며 (문제를) 개선하겠다”고 말했다. 참석자들은 외부업체에 대한 관리·감독 강화와 내부 인력 관리를 포함한 내부통제제도를 만드는 것을 주요 대책으로 들었다. 또 외부 인력에 대한 접근 통제 권한을 만들고 사람을 관리하는 것이 가장 큰 문제라는 데 의견을 모았다. 고승범 금융위 사무처장은 “각 금융사에 이달 말까지 개인정보보호 관련 계획과 건의사항을 제출하라고 당부했다”고 밝혔다. 금융위는 오는 17일 정찬우 금융위 부위원장을 팀장으로 해 금감원, 업계 등이 참석하는 개인정보보호 1차 태스크포스(TF)를 열 예정이다. 김진아 기자 jin@seoul.co.kr

결국 고통을 분담하겠다는 약속은 번지르르한 말뿐이었나. 순이익 급감과 각종 경영부실 사고로 지난해 어려움을 겪은 4대 금융그룹이 고통분담 차원에서 최고경영자(CEO)와 임원들의 고액 연봉을 깎겠다고 공언했지만 새해 들어서도 이를 이행하지 않고 있는 것으로 나타났다. 이에 따라 금융 당국은 4대 금융그룹을 중심으로 성과급 체계에 대해 집중적으로 들여다보기로 했다. 13일 금융권에 따르면 금융감독원은 지난해 하반기 KB금융, 신한금융, 우리금융, 하나금융 등 4대 금융지주와 전체 은행을 대상으로 CEO와 임원의 성과보수체계 개선안을 제출할 것을 요구했다. 그러나 지난해 말까지 개선 계획을 내놓은 것은 지방은행 1곳에 그친 것으로 나타났다. 이를 두고 지난해 임원 연봉의 10~30%를 깎겠다는 의사를 밝힌 4대 금융지주와 주요 은행들이 고액 연봉 삭감에 ‘모르쇠’로 일관하고 있다는 비판이 일고 있다. 신한금융지주는 지난해 8월 회장과 행장은 연봉의 30%, 계열사 사장은 20%, 그 밖의 임원은 10%씩 급여를 깎는 방안을 마련했다고 밝혔지만 아직까지 실제 연봉을 삭감하지 않은 것으로 알려졌다. 이에 대해 신한금융 관계자는 “이사회 의결 절차가 있어 다소 시일이 걸리는 것”이라고 해명했다. KB금융 역시 회계법인의 컨설팅 결과를 바탕으로 지난해 하반기 평가보상위원회에서 임원 급여체계를 개편하기로 했으나 아직까지 결과를 내놓지 않고 있다. 민병덕 전 국민은행장은 지난해 11월 국민은행 사태 당시 “성과급을 언제든 반납할 의사가 있다”고 밝혔으나 실제로 이행하지는 않았다. 금융지주 회장들의 연봉은 기본급과 성과급을 포함해 최소 10억원에서 최대 30억원 가까이 이르는 것으로 알려졌다. 한동우 신한금융 회장은 2012년 고정 급여와 단기 성과급을 합쳐 14억 3000만원을 받았고, 장기 성과급 최고 한도인 13억 2000만원을 합하면 지난해 총연봉이 27억 5000만원에 달한다. 금융지주들이 임원 보수체계 개편에 적극적으로 나서지 않는 것과 달리 금융사를 감독하는 금감원 간부들은 올해부터 연봉을 삭감했다. 금감원장은 올해 7000만원이 깎인 2억 6000여만원, 부원장은 5000만원이 깎인 2억 2000여만원 수준의 연봉을 받을 것으로 보인다. 윤샘이나 기자 sam@seoul.co.kr

금융기관 최고경영자(CEO)들이 2일 신년사에서 밝힌 새해 경영의 화두는 소비자 보호와 리스크 관리다. 금융기관들은 저금리 저성장을 올해 경영 환경의 기본 조건으로 받아들이고 계열사 간 시너지를 높여 신상품 개발에 집중할 전망이다. 고객의 변화하는 욕구에 맞는 신상품 개발이 고객 확보의 가장 중요한 수단으로 작용, 회사의 이익을 담보할 수 있기 때문이다. 기존 대출 외에도 계열사 간 합종연횡을 통한 상품 개발이 활발해지면 리스크 관리의 중요성도 더욱 커질 전망이다. 금융위원회는 올 상반기까지 금융소비자보호기구를 금융감독원에서 분리, 출범시킬 예정이다. 이에 맞춰 금융사들도 소비자 보호를 강화하고 있다. 한동우 신한금융 회장은 “신한은 ‘금융의 본업을 통해 세상을 이롭게 한다’는 숭고한 미션을 가지고 있다”면서 “본업이란 먼저 시대 흐름에 맞는 상품과 서비스를 통해 고객의 목표 달성을 돕는 것”이라고 밝혔다. 한 회장은 “고객의 자산을 잘 운용해서 불려주는 것도 금융의 중요한 역할”이라고 덧붙였다. 이순우 우리금융 회장은 “금융사의 생명은 곧 고객으로, 고객을 잃으면 존립 기반을 잃게 된다”면서 “올해 그룹의 민영화가 진행되는 과정에서 고객에게 한 치의 소홀함이 없도록 더 긴밀한 관계를 형성해야 한다”고 말했다. 문제는 빠르게 변화하는 시장이다. 김정태 하나금융 회장은 “소셜 미디어와 정보기술의 발전으로 소비자들의 구매 패턴과 행동이 급변하고 있다”면서 “업권의 경계를 뛰어넘는 금융 서비스를 만들어야 한다”고 강조했다. 김 회장은 “고객이 원하는 상품은 이미 업종 구분이 없다”고 덧붙였다. 저성장이 장기화되면서 한계 기업을 중심으로 구조조정이 더욱 나타날 전망이다. 이 과정에서 금융사들의 역할도 중요해졌다. 정책금융인 KDB산은금융이 대표적이다. 홍기택 산은금융 회장은 “STX 구조조정 등은 수익 및 리스크 관리의 문제점을 돌아보는 좋은 계기가 됐다”면서 “계열 전담 심사체계 구축, 관리대상계열 제도 활용 등을 통해 계열 기업에 대한 리스크관리를 강화하고 포트폴리오 다양화 등 재무안전성 제고 노력을 강화해야 한다”고 밝혔다. 신규 대출에 대한 관리는 더욱 강화될 전망이다. 임영록 KB금융 회장은 “선제적 리스크 관리를 강화해 나갈 것”이라면서 “우량자산 위주의 신규 대출 취급과 기업·소호여신 등 잠재적 위험자산에 대한 선제적 관리, 건전한 여신 문화를 확립해 나가야 한다”고 밝혔다. 임종룡 농협금융 회장은 “건전성을 농협금융의 최우선 과제로 삼아 상시적인 위기 상황에 치밀하게 대응해 나가야 한다”면서 “튼튼한 뿌리를 가진 나무가 강풍에 견딜 수 있듯이 평소 위기관리 능력을 배양한다면 농협금융의 기본적인 생존력이 강화되고 성장의 밑거름이 될 것”이라고 말했다. 인수합병(M&A) 매물이 쏟아져 나온 증권업계는 고객 확보가 더욱 절박하다. 박현주 미래에셋그룹 회장은 “모든 의사결정은 고객보호에 맞춰야 한다”고 말했다. 김석 삼성증권 사장은 “차별화 없이는 살아남기 어려운 절박한 상황이 전개될 것”이라며 “위기를 극복할 수 있는 답은 고객중심 경영에서 찾아야 한다”고 밝혔다. 전경하 기자 lark3@seoul.co.kr

한 금융회사 최고경영자(CEO)는 고객 신뢰를 바탕으로 새로운 금융 생태계를 만드는 것이 꿈이다. 잘못된 관행을 확 뜯어고칠 테니 참고 지켜봐 달라고 당부한다. 은행이 환골탈태하는 모습을 보여줄 방안을 찾고 있지만 고민이 많다. 웬만한 대책으로는 고객들의 마음을 돌려놓기 쉽지 않을 것 같아서다. 또 다른 금융 CEO는 “다른 유수 은행에서 이탈한 고객들이 적잖다”고 귀띔했다. 그는 고객 충성도가 예전 같지 않다고 한다. 확고한 선도은행이 없는 가운데 이뤄지는 시장의 판도 변화가 의미 있을까. 금융인들의 기세가 확 꺾여 있다. 부당 대출이나 고객 정보 유출, 횡령은 물론 극단적인 행동에 이르기까지 금융 신뢰를 떨어뜨리는 사고가 많은 탓도 있다. 그러나 더 큰 이유는 금융산업에 대한 부정적 인식 때문이다. 월가의 탐욕 이후 국내 금융회사들은 여전히 국민들의 따가운 눈총을 받고 있다. 금융회사들은 돈을 많이 벌어서는 안 된다는 올가미에 걸려 있는 듯하다. 번 돈은 기부나 출연, 협찬 등을 통해 사회에 환원해야 한다는 압박을 많이 받는다. 한 금융회사는 우리나라에서 열릴 예정인 국제 스포츠 행사에 수백억원의 협찬을 요청받고 골머리를 앓고 있다. 이 회사 관계자는 “언론사에서 협찬 등으로 부탁하는 금액은 아무것도 아니다”라고 비유적 표현을 했다. 최근 금융계의 화두는 소비자 보호다. 동양사태를 계기로 이에 대한 관심은 더 커질 것 같다. 금융감독체계 개편과 관련해 내년엔 금융소비자보호원 탄생이 예고돼 있다. 금융위원회에서 금융산업정책 부문을 떼어내 기획재정부로 넘기고 금융위와 금융감독원을 합해 금융소비자보호위원회를 설립해야 한다는 주장도 야권에서 나오고 있다. 보험사들은 저금리로 수익이 쪼그라들고 있다. 저금리 장기화로 일본은 7개, 미국은 81개 보험사가 파산한 사례가 있다. 증권사들은 10여곳이 인수·합병(M&A) 먹잇감으로 거론된다. 신용카드사는 수익 악화로 희망퇴직 신청을 받는 등 구조조정 바람이 세다. 일부 금융사의 CEO 인선을 앞두고는 옛 재무부 출신을 일컫는 ‘모피아’ 출신 여부에만 관심이 쏠리는 분위기다. 후보들의 경영 능력이나 금융 비전 등 큰 그림을 토대로 우열을 가리는 논의는 없다. 미국은 금융사에 대한 3~4년간의 부정적 시선에도 불구하고 올해 사상 최대의 실적이 예상된다. 우리와는 대조적이다. 잘 나가는 제조업체들은 금융사를 우습게 아는 풍토가 생겼다. 금융과 실물경기는 떼어내 생각할 수 없다. 금융사들은 위기의식을 갖고 금융서비스업의 고부가가치 창출을 위해 부단히 노력해야 한다. 더불어 금융에 대한 편견도 없어져야 한다. 금융산업이 무너지면 누가 뒷감당할 수 있나. 동북아 금융허브나 금융의 삼성전자가 요원한 것은 규제 때문만은 아닐 것이다. 금융에 대한 위로나 다독거림도 필요하다. 논설위원 osh@seoul.co.kr

올 3월 동시다발로 전산 사고를 겪은 금융회사 5곳이 금융감독원의 징계를 받았다. 그러나 당초 금감원이 엄중한 조치를 내릴 것이라고 공언했던 것과 달리 9개월이라는 긴 시간의 검사에도 불구하고 징계는 경징계로 끝났다. 금감원은 지난 3월 20일 전산사고가 난 농협중앙회와 농협은행, 농협생명보험, 농협손해보험, 신한은행, 제주은행을 검사한 결과 전산 보안대책 수립·운용 과정에서 잘못이 확인돼 농협중앙회를 제외한 5곳에 대해 기관주의 조치를 하고 임직원 23명을 제재했다고 5일 밝혔다. ‘3·20 전산대란’은 금융사와 KBS 등 언론사 전산이 동시에 마비된 사건이다. 금감원은 해당 회사 직원들이 악성코드에 감염된 사이트에 접속했고 해커가 이를 통해 악성코드를 뿌린 것이 사고의 원인이 된 것으로 결론냈다. 특히 농협중앙회는 농협은행과 농협생보, 농협손보의 정보기술(IT) 업무를 위탁받아 운영하면서 방화벽 보안정책과 백신 업데이트 서버를 제대로 관리하지 않아 사고 원인을 제공한 것으로 나타났다. 이에 더해 장애가 발생했는데도 별도의 대책을 마련하지 않아 똑같은 장애가 생기게 했고 일부 백업 데이터가 손실됐는데도 이를 몰랐던 것으로 드러났다. 금감원은 다만 농협중앙회에 대한 제재 권한이 없어 감독관청인 농림축산식품부에 검사 결과를 통보했다. 농식품부는 이와 관련해 농협중앙회에 경영진 등 관련자를 중징계하라고 지시했다. 이번 제재는 금감원이 위법·부당 행위가 확인되면 경영진에 대해서도 엄중하게 조치할 방침이라고 발표한 것과 달리 예상보다 징계 수준이 낮았다. 3·20 전산대란은 금융당국이 지난 7월 대형 전산 사고가 날 경우 최고경영자(CEO)가 중징계를 받을 수 있도록 금융전산 보안 강화 종합대책을 마련했을 정도로 큰 사건이었다. 김진아 기자 jin@seoul.co.kr