감사원 “카드사 정보유출, 금융당국 업무 태만탓”

지난해 말 KB국민·롯데·NH농협카드 등에서 1억400만건의 개인정보가 대량 유출된 사건은 금융 당국의 감독 소홀과 개인정보 보호에 대한 미온적 대처가 원인이라는 감사원 감사결과가 나왔다.감사원은 특히 국민은행에서 국민카드를 분사할 때 금융지주 계열사 간 고객정보를 공유하는 문제에 대해 당국 승인이 필요하다는 금융위원회의 유권해석을 정면으로 뒤집어 파장이 예상된다.

◇금감원, 개인정보 유출 가능성 알고도 방치=감사원이 28일 발표한 '금융회사 개인정보 유출 관련 검사·감독 실태' 감사결과에 따르면 금감원은 2012년 6∼7월 농협은행 종합검사 당시 IT본부 보안담당자와의 면담을 통해 농협이 신용카드 부정방지사용 시스템(FDS) 개발을 외부업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다. 금감원은 그러나 농협이 관련 솔루션을 구축하는 중이라는 이유로 미변환 정보 제공의 문제점을 검사하지 않았고, 보안프로그램 설치 여부도 전체 컴퓨터 533대 중 1대만 점검해놓고 모두 설치됐다고 판단했다. KCB의 박모(구속) 차장은 이로 인해 금감원의 종합검사가 진행 중이던 2012년 6월부터 그해 12월까지 모두 2427만건의 개인정보를 빼냈다고 감사원은 밝혔다.

금감원은 지난해 6∼7월 롯데카드 종합검사 당시에도 FDS사업 추진과정에서 미변환 개인정보 저장·활용 문제와 관련해 검사인력 및 기간 부족을 이유로 날림 검사를 하고서 아무 문제가 없다고 판단했다. 결국 KCB의 박 차장은 USB 같은 보조기억매체의 접근을 통제하는 프로그램이 설치되지 않은 컴퓨터를 이용, 지난해 12월 롯데카드에서 1967만건의 개인정보를 유출할 수 있었다. 금감원의 이런 안일한 업무처리로 IBK·현대 캐피탈에서도 해킹 등으로 개인정보가 유출돼 농협카드, 롯데카드, 현대·IBK캐피탈에서만 2011년 3월부터 지난해 12월까지 4569만건의 개인정보가 유출됐다고 감사원은 밝혔다.

감사원은 문제를 발견하고서도 검사 업무를 태만히 해 대규모 정보유출의 단초를 제공한 금감원 직원 2명에 대해 징계(문책)를 요구했다.

◇금융위, 엉뚱한 유권해석으로 혼란 부추겨=금감원은 지난 4월 18일 국민은행에서 국민카드를 분할하면서 고객정보를 제공할 때 신용정보법에 따라 금융위의 승인을 받아야 했는지 아니면 금융지주회사법에 따라 승인을 받지 않아도 되었는지에 대해 금융위에 유권해석을 의뢰했다. 이에 금융위는 같은 해 5월 9일 당국의 승인이 필요하다는 유권해석을 내렸다. 하지만 감사원은 "금융지주회사법 제48조의 2에 명시적으로 신용정보법 제32조·제33조에도 불구하고 개인 신용정보를 제공할 수 있도록 돼 있다"며 "금융지주회사법 규정을 적용받는 국민은행 등 5개 금융회사는 신용정보법상 금융위 승인대상이라고 보기 어렵다"고 밝혔다. 금융위의 유권해석을 근거로 금감원은 지난달 26일 KB금융지주 임영록 회장 등에 대한 제재심의에 착수했다.

금융위는 또 금융회사가 영업양도 등을 이유로 타인에게 개인정보를 제공하는 것을 승인하는 업무를 하면서 승인대상 56개 회사 중 49개사가 승인을 받지 않고 있었지만 이를 알아차리지 못했다고 감사원은 지적했다. 아울러 금융위는 2011년 개인정보 자기결정권을 보장하는 내용의 법이 제정됐지만 2012년 '개인정보 보고 시행 계획'을 수립하면서 관련 내용을 제대로 반영하지 않고 있다가 카드3사의 정보유출 사태가 발생하자 뒤늦게 규정을 개정했다.

김재중 기자 jjkim@kmib.co.kr