[단독] 고객정보 유출 ‘쇠방망이’… 1건이라도 새면 직원 징계

앞으로 개인정보를 단 1건이라도 유출한 금융회사 직원은 금융당국으로부터 견책(주의적 경고) 조치를 받는다. 5건 이상 유출하면 감봉(문책성 경고), 50건 이상 유출 시에는 정직(업무정지) 처분이 뒤따른다. 국민적 사안에 대한 금융당국의 징계가 ‘솜방망이’에 그쳤다는 비판에 따른 것으로 보인다.

금융감독원은 금융사가 개인 신용정보 관리를 철저히 하도록 유도하는 취지로 ‘금융기관 검사 및 제재에 관한 규정 시행세칙’을 개정, 전 금융권에 예고했다고 22일 밝혔다. 그간 시행세칙에 없던 ‘개인신용정보 등의 부당이용 또는 유출행위’에 관한 제재 양정기준이 신설된 것이 가장 눈에 띄는 부분이다. 금감원은 위반 성격과 형태, 위반 건수, 고객 피해 정도 등을 종합해 양정한다는 원칙으로 경각심을 높였다.

우선 금감원은 개인정보를 도용·유출당한 주체가 동일인으로 중복되는 경우에라도 징계를 감경하지 않고 적극 대응하기로 천명했다. 개인정보 유출의 경우 정보주체의 수에 유출 횟수를 곱해 유출 건수를 산출하기로 한 것이다. 부당이용 건수는 정보주체 수에 이용일수를 곱해 따지기로 해 기간이 길어지면 책임을 더욱 무겁게 지도록 했다.

금감원은 개인정보 관리를 담당하는 임원들의 책임도 한껏 강화했다. 신용정보관리보호인, 정보보호최고책임자(CISO) 등이 최고경영자(CEO)를 포함한 임원에게 정보보호 관련 조치 필요사항을 보고했더라도 적정한 조치가 취해지지 않으면 소관임원에게 행위자 책임을 부과하기로 한 것이다.

개인정보 관련 사고가 발생하면 임직원뿐 아니라 금융사의 행위자 책임도 가볍지 않게 적용된다. 금감원은 정보보호 소홀 사고 발생 시 고의·중과실인 경우와 경과실인 경우로 원인을 나누기로 했다. 개인정보 유출·부당이용 등의 결과는 위반 경로·건수·사회적 물의 정도에 비춰 중대·보통·경미로 구분하기로 했다. 고의·중과실인 경우 정보보호 소홀의 결과가 중대했다면 그 금융사는 업무정지된다. 임직원도 정직(직무정지) 이상의 중징계를 받는다.

금감원은 제재 양정기준을 마련하면서 ‘기술적·물리적·관리적 보안대책을 소홀히 해 제3자의 불법적인 접근을 초래한 경우’도 개인정보 보호가 소홀한 것으로 규정했다. 외부 해킹은 불가항력이라며 각종 손해배상 소송에서 스스로를 변호했던 기업들은 앞으로 IT·보안기술의 중요성을 더욱 심각하게 인식할 전망이다.

금감원은 한편 금융 권역별로 각종 불건전 영업행위에 대한 제재 수위를 높였다. 은행 부문에서는 이른바 ‘꺾기’로 불리는 은행의 ‘금융상품 구속행위’ 금지위반 관련 기준을 강화했다. 금융투자 부문에서는 동양 사태로 주목된 금융투자상품 불완전판매행위에 대해 양정기준을 세분화했다.

보험 부문에서도 특별이익 제공 등 다수의 소비자 피해를 유발하는 고질적·반복적인 영업행위에 대한 양정기준을 정비했다. 개인은 위반 금액을 기준으로, 기관은 조직 규모에 관계없이 위반비율을 기준으로 제재하겠다고 했다. 상호금융조합 분야에서는 신협의 무자격 조합원 가입 및 비조합원 대출한도 초과, 상호금융조합의 순자본비율 과대계상 등에 대해 경종을 울릴 방침이다.

이경원 기자 neosarim@kmib.co.kr