개인정보 유출, 이중 제재 논란…금융권 “책임 다한 금융사에 규제 완화해야”

[파이낸셜뉴스]금융회사가 수탁자에 대한 관리·감독과 안전성 확보조치 준수를 제대로 이행한 경우 수탁자에서 발생한 개인정보 유출 관련 과징금을 완화해야 한다는 제언이 나왔다. 현재는 금융회사가 동일한 개인정보 유출 사건에 대해 개인정보보호법과 신용정보법을 둘 다 적용 받아 이중 제재 논란이 일고 있다.

16일 금융권에 따르면 금융보안원이 전날 개최한 '금융분야 개인(신용)정보 보호 세미나'에서는 금융회사가 개인정보 유출 문제 관련, 금융위원회 소관인 개인정보보호법과 개인정보보호위원회 소관인 신용정보법에 따라 두 차례 과징금을 부과받는 현행 법체계에 대한 문제점이 지적됐다.

두 법 모두 개인정보 유출이 발생하면 전체 매출액의 3% 이하를 과징금으로 부과할 수 있도록 규정하고 있다.

실제로 카카오페이는 최근 개보위로부터 59억6800만원, 금융위로부터 150억원의 과징금을 부과 받았다. 카카오페이가 지난 2019년부터 애플 서비스의 부정 거래 방지를 위해 알리페이 시스템을 활용했는데 정보처리 위탁에 해당하는 절차로 암호화된 비식별 정보(NSF 점수)를 정보 주체의 동의 없이 알리페이에 이전했다는 이유에서다.

개인정보보호법에 따르면 정보주체로부터 개인정보를 수집한 기업·기관 등 개인정보처리자는 다른 처리자에게 개인정보를 넘길 때 '제3자제공'이나 '처리위탁' 규정을 따라야 한다. 제3자제공은 정보주체의 별도 동의가 필요하지만 관리·감독 책임이 개인정보를 넘겨받는 쪽에 발생하고 처리위탁은 별도의 동의절차가 필요 없지만 개인정보를 넘겨주는 쪽이 관리·감독 책임을 져야 한다. 개인정보를 외국으로 넘길 경우 정보주체의 별도 동의를 받으라는 '국외이전' 제한규정도 있다.

개보위에 따르면 카카오페이는 NSF 점수를 산출하기 위해 알리페이가 개인정보를 넘겨받는다고 명시한 제3자제공 동의서를 받지 않았다. 오히려 애플 서비스에서 카카오페이 이외 결제수단을 택한 사용자나 안드로이드폰을 가진 사용자까지 합쳐 약 4000만명의 개인정보를 알리페이에 제공했다.

별도로 조사를 진행한 금감원 역시 같은 사안에 대해 150억원 규모의 과징금을 결정하고 금융위에 최종 심의를 맡긴 상태다.

이날 패널 토론에 참석한 박재호 삼성증권 상무는 "위탁자의 수탁자 관리·감독과 수탁자의 안전성 확보조치 준수가 잘 이행된 경우 수탁자에서 발생한 개인(신용)정보 유출 관련 과징금을 완화해야 한다"고 말했다.

이해원 강원대학교 법학전문대학원 교수 역시 "하나의 행위에 두 개의 법을 적용해 두 곳의 기관에서 제재를 받는 것이 합당한 지 논쟁이 있다"라며 "개인정보와 관련해 충돌하고 중복되는 법에 대한 정비가 필요하다"고 강조했다.

금융회사에서 정보보호를 담당하는 임원들에 대한 법적 보호 장치나 전사적인 지원이 필요하다는 제언도 나왔다. 금융보안원에 따르면 현재 국내 은행·증권·보험·카드사의 약 80%는 정보보호최고책임자(CISO), 개인정보보호책임자(CPO), 신용정보관리·보호인(CIAP) 등 3개 직책을 동일인에게 겸직시키고 있어 전문성이 떨어지고 책임이 과중하게 부여된다는 비판이 나온다.

김진규 KB손해보험 상무는 "금융 분야는 CISO, CPO, CIAP 겸직이 보편화돼있다"라며 "개인(신용)정보 보호를 효과적으로 하기 위해서는 조직과 역할 분담이 뒷받침 돼야 한다"고 지적했다.

윤수영 한국CPO협의회 사무국장은 "겸직 중인 임원에게 집중된 과도한 책임을 분산하기 위해 거버넌스 구축과 선량한 관리자의 주의 의무를 다한 CPO에게는 인사상 불이익을 방지하는 법 제도적 장치가 필요하다"고 주장했다.

한편 박상원 금융보안원장은 “디지털 금융환경이 고도화될수록 개인(신용)정보의 안전한 보호는 금융산업의 신뢰를 지탱하는 핵심 기반이 된다"며 "앞으로도 금융회사의 안전한 개인(신용)정보 관리 및 보호를 적극 지원해 나가겠다”고 밝혔다.

sjmary@fnnews.com 서혜진 기자

Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.