올초 벌어진 KB국민·농협·롯데 등 카드 3사의 대규모 개인정보 유출 사태는 금융당국의 ‘부실 감독’과 ‘뒷북 대응’이 초래한 것이란 감사원의 감사 결과가 나왔다. 감사원은 특히 임영록 KB금융지주 회장에 대한 제재 근거인 신용정보법 위반과 관련해 금융위원회의 기존 유권해석에 문제가 있다고 지적했다. 이 같은 감사원의 결론이 중징계를 통보받은 임 회장의 제재 수위에 변수가 될지 주목된다.
"금융감독 '골든타임' 놓쳐 정보유출 키워"
○“정보 유출, 안일한 인식 탓”

감사원은 28일 금융위와 금융감독원에 대한 감사결과인 ‘금융회사 개인정보 유출 관련 검사·감독 실태’를 공개했다. 감사원에 따르면 금감원은 2010년 농협은행에 대한 종합검사 당시 신용카드 부정방지사용 시스템(FDS) 개발을 외부업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고도 관련 내용을 검사하지 않았다. 개인정보를 테스트용으로 사용할 때 이를 알아볼 수 없게 변환해 사용해야 한다는 규정을 어겼지만 금감원이 이를 방치한 것이다.

감사원 관계자는 “이로 인해 KCB 직원이 보안프로그램이 없는 컴퓨터를 통해 2426만여건의 정보를 유출할 수 있었다”며 “금감원이 부실 검사로 골든타임을 놓쳐 정보 유출 빌미를 제공한 셈”이라고 설명했다. 감사원은 이와 관련된 금감원 직원 2명의 징계(문책)를 요구했다.

또 금융위는 금융지주회사법의 개인정보 유출 관련 조항을 제때 개정하지 않은 것으로 결론지었다. 2011년 개인정보보호법 시행에 맞춰 금융지주사 자회사 간 정보 제공을 규제하도록 법을 개정해야 했는데, 유출사고 이후인 올해 5월에야 이를 개정했다는 설명이다. 감사원은 또 2009년 신용정보법 개정 이후 개인정보를 다른 금융회사로 이전한 금융회사 61곳 가운데 7곳만 금융위의 승인을 받은 사실도 확인했다.

○임 회장 제재 변수 되나

감사원은 이날 2011년 3월 국민카드가 국민은행에서 분사할 당시 고객정보 이관 문제에 대해서는 금융위의 승인을 받지 않아도 되는 것으로 해석했다. 이는 ‘국민카드가 국민은행에서 분사하면서 신용정보법에 따라 승인받지 않고 국민은행 고객정보를 가져간 게 규정 위반’이라는 금융위의 기존 유권해석을 완전히 뒤집는 것이다. 감사원 관계자는 “금융지주사의 자회사 간에 개인정보를 영업상 이용할 목적으로 제공할 수 있다는 법조항이 있어 승인 대상으로 보기 어렵다”고 말했다.

감사원의 이 같은 해석이 임 회장 제재 수위에 변수가 될지 주목된다. 그동안 카드 분사 과정에서 금융위의 승인을 받지 않은 점이 당시 KB금융지주 고객정보관리인이었던 임 회장에 대한 주요 중징계 근거 중 하나였기 때문이다.

하지만 금감원은 임 회장에 대한 중징계 방침에는 변화가 없다는 입장이다. 금감원 관계자는 “임 회장은 카드를 쓰지 않는 은행 정보까지 국민은행에 넘겼고 이를 없애겠다는 사업보고서 내용을 제대로 이행하지 않은 혐의도 받고 있다”고 말했다.

장창민/도병욱 기자 cmjang@hankyung.com