금융회사 고객정보 파기 허술

지난 6월 15일 경북 경산 NH농협은행 하양지점은 10년 이상 창고에 보관해 오던 고객 정보 서류 뭉치를 파쇄업자가 아닌 제3자에게 통째로 건넸다. 규정대로라면 파쇄업자에게 돈을 주고 파기를 직접 의뢰해야 하지만, 평소 지점장이 알고 지내던 운송업자에게 공짜로 넘긴 것이다.

서류에는 해지된 신용카드 발급 신청서, 거래해지 신청서, 해지 통장 등 각종 고객 정보가 가득했다. 서류를 건네받은 운송업자는 개인정보를 악용하지 않고 재활용업자에게 30만원을 받고 팔았다. NH농협은행은 언론 취재가 시작된 뒤 서류를 파쇄토록 조치해 다행히 고객정보 유출은 없었다.

금융감독원은 이 사건을 계기로 지난 6월 28일부터 지난달 12일까지 165개 금융회사를 대상으로 개인정보문서의 관리 실태조사를 실시했다. 금융회사의 개인정보문서에 대한 관리 수준은 전반적으로는 양호했다. 다만 농협은행의 사례처럼 개인정보문서 파기를 위탁하는 과정에서 일부 문제점이 드러났다. 파기 계획의 수립과 시행, 결과 확인 등에서 개인정보보호책임자(CPO)의 역할과 책임이 미흡했던 것이다.

금감원은 이에 따라 금융회사의 개인정보문서 관리 유의사항과 자체점검 체크리스트를 마련해 배포했다고 4일 밝혔다. 개인정보가 불필요하게 되면 지체 없이 파기하고, 파기 관련 사항들을 기록·관리하게 하는 것이 유의사항의 골자다. 개인정보문서의 파기를 외부업체에 위탁할 때에는 필수기재사항이 포함된 문서를 남겨야 한다.

금융회사는 수탁자가 개인정보를 안전하게 처리하는지 현장 확인하고 파기 결과를 점검하는 등 수탁자를 감독할 의무도 갖는다.

이경원 기자 neosarim@kmib.co.kr