감사원 "카드사 개인정보유출, 금융당국 태만 탓"

2014-07-28 16:17
"금감원, 외부업체에 '미변환 개인정보 제공' 등 알고도 방치"

아주경제 주진 기자 =지난해 말 국민·롯데카드와 농협은행 등에서 대량의 개인정보가 유출된 사건은 금융당국의 안일한 업무 태도와 개인 정보 보호에 대한 미온적 인식이 원인이라고 감사원이 28일 밝혔다.

감사원은 지난 1∼2월 금융위원회와 금융감독원 등을 상대로 벌인 '금융회사 개인정보 유출 관련 검사·감독 실태' 감사 결과를 이날 공개하고, 사태의 책임을 물어 금감원 직원 2명에 대해 징계를 요구했다고 밝혔다.

감사원에 따르면 금감원은 이미 지난 2012년 6∼7월 농협은행 종합검사 당시 농협이 신용카드 부정 방지사용 시스템(FDS) 개발을 외부 업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다.

금감원은 당시 농협은행이 KCB의 컴퓨터에 자사 단말보안프로그램을 제대로 설치하지 않은 사실도 함께 확인한 것으로 드러났다.

금감원은 그러나 농협이 관련 프로그램 구축 중이라는 이유로 미변환 정보제공에 대한 문제점을 검사하지 않은데다, 보안 프로그램 설치에 대해서는 전체 컴퓨터(PC) 533대 중 1대만 점검하고서 모두 설치됐다고 판단한 것으로 확인됐다.

KCB의 박모 차장은 이로 인해 금감원의 종합 검사가 진행 중이던 2012년 6월부터 그해 12월까지 모두 2천 427만 건의 개인정보를 빼냈다고 감사원은 밝혔다.

금감원은 지난해 6∼7월 롯데카드 종합검사 당시에도 FDS사업 추진 과정에서의 미변환 개인정보 저장·활용 문제와 관련해 '검사 인력 및 기간 부족'을 이유로 날림 검사를 하고서도 아무 문제가 없다고 판단한 것으로 확인됐다.

결국 KCB의 박모 차장은 USB같은 보조기억 매체의 접근을 통제하는 프로그램이 설치되지 않은 컴퓨터를 이용, 지난해 12월 롯데카드에서 1천 967만건의 개인정보를 유출할 수 있었다고 감사원은 지적했다.

금감원의 이런 안일한 업무 처리로 IBK·현대 캐피탈에서도 해킹 등으로 개인정보가 유출돼 농협은행, 롯데카드, 현대·IBK캐피탈에서만 2011년 3월부터 지난해 12월까지 4천 569만 건의 개인정보가 유출됐다고 감사원은 밝혔다.
 
금융위는 금융회사가 영업양도 등을 이유로 타인에게 개인정보를 제공하는 것을 승인하는 업무를 하면서 승인을 받아야 하는 56개 회사 중 49개사가 승인을 받지 않고 있었지만 이를 알아차리지 못했다고 감사원은 지적했다.

금융위는 또 지난 2011년 개인정보 자기 결정권을 보장하는 내용의 법이 제정됐지만 2012년 '개인정보 보고 시행 계획'을 수립하면서 관련 내용을 제대로 반영하지 않고 있다가 카드 3사의 정보 유출 사태가 발생하자 뒤늦게 규정을 개정했다.

뿐만 아니라 금융위는 지난 2012년 62개 금융회사를 대상으로 '금융권 개인정보 수집ㆍ이용실태 종합점검'을 하면서 과도한 개인정보 수집 등 문제점을 파악, 개선 방안을 수립했지만 이를 제대로 지도·감독하지 않았다.

때문에 국민카드, 농협은행, 롯데카드의 경우 거래 관계가 끝나 파기·별도보관 대상으로 분류해야 할 정보 2천 649만 건이 유출되게 됐다고 감사원은 밝혔다.

안전행정부는 지난해 12월 롯데·국민카드 등을 상대로 개인정보 관리실태를 점검하면서 각 카드사가 보유기간이 지난 개인정보를 보유하는 등 관련법을 어긴 사실을 알고서도 이를 발견하지 못한 것으로 드러났다.

감사원은 이에 대해 안행부에 주의를 요구하는 한편 파기 또는 별도보관 대상 개인정보 616만건을 그대로 보관한 롯데카드 등에 대해 과태료 부과 등의 조치를 요구했다.