"금감원, 외부업체에 '미변환 개인정보 제공' 등 알고도 방치"
"금감원 직원 2명 징계…국민·롯데카드 등에 과태료 등 처분" 요구

지난해 말 국민·롯데카드와 농협은행 등에서 대량의 개인정보가 유출된 사건은 금융당국의 안일한 업무 태도와 개인정보보호에 대한 미온적 인식이 원인이라고 감사원이 28일 밝혔다.

감사원은 지난 1∼2월 금융위원회와 금융감독원 등을 상대로 벌인 '금융회사 개인정보 유출관련 검사·감독 실태' 감사결과를 이날 공개하고, 사태의 책임을 물어 금감원 직원 2명에 대해 징계를 요구했다고 밝혔다.

◇ "금감원, '미변환 개인정보 제공' 알고서도 방치" = 감사원에 따르면 금감원은 이미 지난 2012년 6∼7월 농협은행 종합검사 당시 농협이 신용카드 부정방지사용 시스템(FDS) 개발을 외부업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다.

금감원은 당시 농협은행이 KCB의 컴퓨터에 자사 단말보안프로그램을 제대로 설치하지 않은 사실도 함께 확인한 것으로 드러났다.

금감원은 그러나 농협이 관련프로그램 구축 중이라는 이유로 미변환 정보제공에 대한 문제점을 검사하지 않은데다, 보안프로그램 설치에 대해서는 전체 컴퓨터(PC) 533대 중 1대만 점검하고서 모두 설치됐다고 판단한 것으로 확인됐다.

KCB의 박모 차장은 이로 인해 금감원의 종합검사가 진행 중이던 2012년 6월부터 그해 12월까지 모두 2천427만건의 개인정보를 빼냈다고 감사원은 밝혔다.

금감원은 지난해 6∼7월 롯데카드 종합검사 당시에도 FDS사업 추진과정에서의 미변환 개인정보 저장·활용 문제와 관련해 '검사인력 및 기간 부족'을 이유로 날림 검사를 하고서도 아무 문제가 없다고 판단한 것으로 확인됐다.

결국 KCB의 박모 차장은 USB같은 보조기억매체의 접근을 통제하는 프로그램이 설치되지 않은 컴퓨터를 이용, 지난해 12월 롯데카드에서 1천967만건의 개인정보를 유출할 수 있었다고 감사원은 지적했다.

금감원의 이런 안일한 업무처리로 IBK·현대 캐피탈에서도 해킹 등으로 개인정보가 유출돼 농협은행, 롯데카드, 현대·IBK캐피탈에서만 2011년 3월부터 지난해 12월까지 4천569만건의 개인정보가 유출됐다고 감사원은 밝혔다.

감사원은 문제를 발견하고서도 검사업무를 태만히 해 대규모 정보유출의 단초를 제공한 금감원 직원 2명에 대해 징계(문책)를 요구했다고 밝혔다.

이 밖에도 금감원은 금융회사들의 서면보고 사항 허위작성을 적발하고도 여전히 같은 방식의 검사를 실시, KCB에서 국민카드를 통해 개인정보 4천450만건을 무단 유출할 수 있게 한 사실도 적발됐다.

◇ "금융위, 태만업무로 '소 잃고 외양간 고치기'에도 느릿느릿" = 금융위는 금융회사의 개인정보 제공과 관련해 개선안 마련에 늑장을 부리거나 개선안을 마련하고서도 제대로 지도·감독 하지 못해 사태를 방지하지 못한 것으로 드러났다.

금융위는 금융회사가 영업양도 등을 이유로 타인에게 개인정보를 제공하는 것을 승인하는 업무를 하면서 승인을 받아야 하는 56개 회사 중 49개사가 승인을 받지 않고 있었지만 이를 알아차리지 못했다고 감사원은 지적했다.

이와 관련해 감사원은 국민카드가 국민은행에서 분할될 당시 이관된 고객정보에 대해 신용정보법에 따른 금융위의 승인을 받지 않아도 된다고 해석, 금융위가 지난 5월에 내놓은 유권해석을 반박했다.

금융위는 당시 "영업분할을 이유로 한 고객 정보 이관은 금융지주회사법에 따른 특례 대상으로 보기 어려워 금융위의 승인이 필요한 사항"이라고 해석한 바 있다.

감사원은 그러나 "금융지주회사법은 신용정보법에도 불구하고 금융지주회사가 그에 속하는 자회사 등에 개인정보를 제공할 수 있도록 분명하게 규정하고 있다"며 "금융위의 유권해석은 현행법의 해석론으로는 무리"라고 밝혔다.

금융계에서는 그동안 금융위의 유권해석을 근거로 KB금융지주 임원들에 대한 중징계가 불가피할 것으로 해석해왔다.

감사원은 아울러 금융위가 지난 2012년 62개 금융회사를 대상으로 '금융권 개인정보 수집ㆍ이용실태 종합점검'을 하면서 과도한 개인정보 수집 등 문제점을 파악, 개선방안을 수립했지만 이를 제대로 지도·감독하지 않은 사실도 적발했다.

때문에 국민카드, 농협은행, 롯데카드의 경우 거래관계가 끝나 파기·별도보관 대상으로 분류해야 할 정보 2천649만건이 유출되게 됐다고 감사원은 밝혔다.

안전행정부는 지난해 12월 롯데·국민카드 등을 상대로 개인정보 관리실태를 점검하면서 각 카드사가 보유기간이 지난 개인정보를 보유하는 등 관련법을 어긴 사실을 알고서도 이를 발견하지 못한 것으로 드러났다.

감사원은 이에 대해 안행부에 주의를 요구하는 한편 파기 또는 별도보관 대상 개인정보 616만건을 그대로 보관한 롯데카드 등에 대해 과태료 부과 등의 조치를 요구했다.

(서울연합뉴스) 오예진 기자 ohyes@yna.co.kr