정부가 10일 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표했다.
이번 대책은 금융권의 무차별적인 개인정보 수집•이용 관행에 제동을 걸었다는 점에서 의미를 찾을 수 있다. 소비자 입장에서도 개인정보 제공과 이용 단계에서 최소한의 권리를 확보할 수 있게 됐다.
하지만 이미 발표한 대책과 별반 다르지 않아 재탕, 땜질식 처방 논란을 낳고 있다. 금융회사의 관리 책임과 사후 제재에 초점을 맞추다 보니 근본 대책과도 거리가 있었다. 미래창조과학부와 방송통신위원회, 안전행정부 등이 포함된 관계기관 합동 대책이란 포장도 무색했다.
◇ 무차별적 개인정보 수집•이용 관행 제동
이번 대책은 사실상 아무런 제한이 없었던 금융권의 개인정보 취급 관행에 큰 변곡점이 될 전망이다. 우선 개인정보의 수집과 보유, 활용, 파기 등의 절차가 훨씬 까다로워진다.
최대 수천억 원에 이를 수도 있는 징벌적 과징금 제도가 도입되는 등 사후 제재도 대폭 강화된다. 개인정보 관련 사고가 나면 최고경영자(CEO)가 옷을 벗거나 회사 자체가 거덜 날 수 있다는 경각심을 일깨워줄 수 있는 강도다.
소비자도 체감적인 변화가 예상된다. 금융회사 홈페이지에 가입하거나 거래할 때 제공하는 개인정보 항목이 10개 이내로 간소화된다. 추가 개인정보 제공에 동의하지 않더라도 회원 가입은 물론 금융거래도 가능해진다. 주민등록번호는 최초에 한 번만 제공하면 된다.
수신 거부 의사를 밝히면 영업 목적의 전화를 받지 않는 두낫콜(Do not call) 제도도 일반화될 전망이다. 제삼자에게 개인정보를 제공할 땐 정보이용 목적과 제공업체, 제공기간, 파기 계획 등에 대해 구체적으로 알 수 있게 된다.
▲ 신제윤 금융위원장이 10일 정부서울청사에서 금융분야 개인정보 유출 재발방지 종합 대책을 발표한 후 질문에 답하고 있다. |
◇ 재탕 대책이 대부분…제재 수위도 애매
반면 지난 1월 내놓은 개인정보 보호대책에서 살을 붙이거나 보완한 내용이 대부분이어서 굳이 따로 대책을 발표할 필요가 있었느냐는 지적도 나온다.
정부는 이번에 금융당국은 물론 안전행정부, 미래창조과학부, 방송통신위원회 등 관계기관 합동으로 종합대책을 마련했다고 밝혔다. 하지만 크게 진전된 내용은 없었고, 새로운 대책 역시 기본적인 수칙을 재조정하고, 명문화하는데 그쳤다.
내용이 모호하다는 평가도 있다. 최대 3%까지 부과할 수 있다는 징벌적 과징금 규모나 CEO를 비롯한 임원에 대한 제재 수위가 대표적이다. 제재 수위가 애매하면 결국 금융당국의 재량권만 커질 수 있다는 지적이다.
실제로 금융당국은 그동안 개인정보 유출 사고가 터질 때마다 경영진에 대한 제재를 강화하겠다고 공언했지만, 지금까지 개인정보 유출 사고로 중징계를 받은 사례는 한 번도 없었다.
◇ “알멩이 없이 변죽만 울렸다” 평가도
금융권의 관리 책임과 사후 제재에 초점을 맞추다 보니 사회 전반의 개인정보 보호 강화라는 관점에선 볼 땐 변죽만 울렸다는 평가도 나온다. 통신과 인터넷, 유통 등 사실상 개인정보 유출 가능성이 훨씬 높은 업종을 놔누고 상징성이 크고 만만한 금융권만 잡는게 아니냐는 얘기다.
실제로 최근 KT에서 1200만 건의 개인정보가 빠져나간 것을 비롯해 2008년 이후 옥션(1081만 건)과 SK브로드밴드(600만 건), GS칼텍스(1125만 건), SK컴즈(3500만 건) 개인정보 유출 사고가 있었다. 휴대폰 판매 대리점이나 중소 인터넷사이트 등 아예 개인정보 유출 여부조차 파악하지 못하고 있는 영역도 수두룩하다.
정부가 당초 개인정보 보호 종합대책을 발표하려다가 여의치 않자 금융권으로 좁히다 보니 기존 대책을 재탕한 게 아니냐는 해석도 나온다. 현오석 경제부총리가 이에 “범정부 태스크포스를 통해 통신•의료•공공부문 등 사회 전반에 걸쳐 개인정보 보호실태를 일제 점검하고, 올 상반기 중 보다 근본적이고 포괄적인 대책을 내놓겠다”고 밝혔다.