조연행 금융소비자연맹 상임대표

KB국민, 롯데, NH농협카드사가 1억400만건의 개인정보를 유출시켰다. 최근에는 유출된 카드사 회원이 ‘보이스피싱’을 당한 사례가 보고 되었다.

2012년말 기준으로 우리나라는 인구 5천만명, 경제활동인구 2,550만명, 발급 카드수는 1억 1,637만건이다. 통계에 비추어 볼 때 이번에 유출된 개인정보 1억 400만건은 거의 모든 카드소비자의 정보가 유출되었다고 볼 수 있다.

카드 소비자 정보는 개인의 소비패턴은 물론 자산과 부채내역을 유추해 볼 수 있는 1급 경제정보로서 ‘정보시장’에서 비싸게 거래된다. 이를 이용해서 보이스 피싱의 범죄 대상은 물론, 대출권유 등 마케팅 대상으로 삼기가 쉽기 때문이다.

금융사들의 개인정보가 자주 유출되는 가장 큰 원인은 금융감독당국의 안이한 인식과 대처가 원인이라 생각된다. 금감원 및 금융위가 금융사에 대한 고객정보 해킹, 유출, 도용에 대해 실질적인 대책을 내놓기 보다는, 일어나는 사건에 대해서만 ‘사후약방문’격으로 소극적으로 대응하고, ‘제식구 감싸기식’으로 금융사를 편들면서 ‘솜방망이 처벌’로 일관하기 때문이다.

지난달 한국스탠다드차타드(SC)은행과 씨티은행에서 발생한 14만건의 고객정보 유출사고에 대해 당국은 문제가 드러나면 관련 임직원에 대해 ‘중징계할 방침’이라고 밝혔었다. 그러나 결과는 ‘주의적 경고’ 등의 경징계를 내렸을 뿐이다. 앞서 2011년 고객정보 유출건이 터진 현대캐피털, 삼성카드, 하나SK카드 사태에 대해서도 당국은 기관주의, 과태료 부과, 감봉 등을 내리는 경징계에 그쳤다.

금감원의 이러한 ‘솜방망이’ 처벌은 시장 감독 임무를 제대로 수행하지 않은 직무유기나 다름 없다. 이러한 사고가 빈발함에도 아직도 금융감독당국과 금융사들은 개인정보의 중요성을 제대로 파악하지 못하고 있다.

이익단체인 생보협회가 개인의 민감한 질병정보를 불법적으로 수집하여 보험사들이 공유, 유통시키는데도 이를 금융위원회가 눈 감아주고 용인하는 행태는 감독당국이 얼마나 안이하게 금융소비자 ‘개인정보’를 인식하는 가를 보여주는 보여주는 단적인 사례이다.

보험사들은 아시아나 화물기사고때 불법적으로 기장의 보험가입 정보를 유출시킨 전과가 있다. 만일 개인의 ‘질병정보’가 유출되어 악용된다면 걷잡을 수 없이 커다란 ‘재앙’이 될 수 있다. 그럼에도 금융당국은 이익단체가 집적하는 것을 그대로 수수방관하고 있는 것이다.

금융감독당국의 ‘솜방망이 처벌과 안이한 대처’가 금융사의 정보유출사고의 재발을 불러 온다면 처벌을 강화하고 적극적인 대처가 해결책이 될 것이다.

처벌강화는 유출회사에 대한 영업정지, 유출건수 감안하여 과태료 최대 100억원 부과, 유출 관계인들에 대한 구상권을 행사할 수 있는 통일적인 기준을 마련하고, 사고 관계인들은 형량을 최대 10 년, 벌금 10억원, 고객정보를 불법으로 수집 이용하는 자도 징역 5년, 벌금 5억원이하에 처할 수 있게끔 전자금융거래법, 개인신용정보보호법 등을 개정하여 처벌을 대폭 강화해야 한다.

유출 금융사들은 피해가 발생할 경우 소비자들에게 자발적으로 보상을 실시하도록 해야 한다. 고객정보유출의 피해입증을 금융사가 지게 하고 손해배상의 청구도 용이하게 하고 손해배상금액도 손해액이 아니라 ‘징벌적 손해배상금액’을 적용하도록 하여 금융사의 책임의식을 높이는 정책이 필요하다.