정부 금융회사 고객정보 유출 재발방지 대책 Ⅰ 개 요 정부는 1.22일 관계장관회의, 당정협의를 거쳐 금융회사 고객정보 유출 재발방지 대책 을 마련하여 발표 ㅇ 이번 대책에서는 정보유출에 따른 국민들의 불안과 불편을 해소하 고, 정보유출과 관련된 책임자를 엄정 제재하는 금번 사고 관련 안 정화 방안 과 함께, - 재발을 근본적으로 차단하기 위해 정보 보유 유통 관리 등을 획기 적으로 개선하고, 책임과 제재를 대폭 강화하는 향후 재발방지 방안 을 마련하였음 Ⅱ 주요 내용 1. 금번 사고 관련 안정화 방안 1 국민들의 막연한 불안감 해소를 추진할 것임 금번 카드 3사 정보유출 사고에서 유출되었던 정보는 전량 회수되어 부정 사용 가능성은 없는 것으로 나타남 ㅇ 수사당국도 불법 수집자와 최초 유포자가 검거되어, 현재까지 수사결과 추가 유통은 확인되지 않았다고 수차례에 걸쳐 밝힌 바 있으며, ㅇ 해당 카드사를 통해 확인해본 결과, 피해사례는 발견되지 않고 있음 그동안 금번 유출사고에 따른 ㅇ 또한, 금감원의 자료분석 결과 신용카드 비밀번호나 본인인증 코드 (CVC) 와 같은 중요정보는 포함되어 있지 않았음 다만, 금번 사고와 관계는 없지만, 국민들이 안심하고 금융 서비스를 이용할 수 있도록 카드 사용 관련 안심대책 을 시행할 예정 - 1 -
ㅇ 카드 부정사용에 따른 피해에 대해서는 관련 법률에 따라 같이 카드사에서 전액 보상해 나갈 것 종전과 ㅇ 3개 카드사가 무료로 결제내역 확인문자(SMS) 서비스를 제공하고, KCB는 전 국민에 대해 1 년동안 개인정보 보호서비스 * 를 제공 * 대출카드발급 관련업무 처리과정에서 고객정보를 조회한 사실을 문자로 통보 등 - 또한, 카드번호와 유효기간으로 결제가 가능한 일부 가맹점( 학습지, 홈 쇼핑 등)에 대해서는 추가 본인확인 수단( 확인전화, 휴대폰 인증) 도입 검토 ㅇ 아울러, 국민 불안감을 악용한 금융사기 시도가 있을 수 있으므로, 이에 대한 예방조치도 강력히 시행해 나갈 것이며 - 보이스피싱, 스미싱, 불법 사금융 등 사기 및 범죄에 이용되는 전 화번호를 차단하는 방안도 추진해 나갈 것임 2 민원처리에 있어 국민들의 불편이 최소화되도록 할 것임 또한, 카드 재발급 등 처리 과정에서 국민들의 불편이 최소화될 수 있도록 다양한 조치들을 즉시 추진해 나갈 것 ㅇ 카드발급 수요가 늘어나는 가운데, 점포 혼잡 및 대기 등에 따른 불편을 최소화하기 위해 영업시간 연장, 점포확대 등 조치 * ( 농협 KB) 카드관련 업무시간 연장( 오후4시 9 시), 주말영업 등 ( 롯데) 마트, 카드사 지점에서도 카드를 발급하고 운영시간 연장 등 ㅇ 콜센터 직원 증원, 고객 응대에 필요한 통신회선 확충, 인터넷 회 선 확대 등을 통해 원활한 신청 및 안내가 이루어지도록 함 3 관련자는 엄격히 책임소재를 규명하여 강력히 제재할 것임 금번 정보유출 사고를 초래한 당사자에 대해서는 엄정한 책임소재 규명을 통해 강력한 제재조치를 조속한 시일내에 추진할 것임 ㅇ 금번 고객정보 유출사건은 기본적인 보안절차만 준수하였더라도 충분히 막을 수 있었던 전형적인 인재( 人 災 ) 사고였으며, - 2 -
금번 고객정보 유출사건의 성격 이번 사건은 KCB 직원이 3 개 카드사의 위 변조 방지시스템 용역 과정에서 카드사 고객정보를 대량 갈취한 사건 외부인의 USB 사용 차단, 고객정보 암호화 등 안전성 준수사항이 있었음에 도, 카드사가 이를 제대로 이행하지 않은 것이 원인 ㅇ 금융보안에 대한 경각심 환기를 위해서, 사고의 책임자에 대해서는 형사처벌과 별도로 최고한도의 행정제재를 조속한 시일내 추진 - 해당 카드사에 대해서는 법령상 부과 가능한 최고한도 수준( 영업정 지 3 개월)의 제재를 2월중 추진 - 사고발생시의 전 현직 관련 임직원(CEO 포함)에 대해서는 해임권고 직무정지 등 중징계 부과 추진 2. 향후 재발방지 방안 정부는 개인 신용정보 수집 보관 관리 및 유출사고 대응 등 전반에서 제기되는 문제를 점검하여 ㅇ 개인정보 유출 재발을 보다 근본적 으로 방지하는 제도개선 방 안을 마련하여 추진해 나갈 것임 1 금융회사는 꼭 필요한 정보만 수집하여 철저히 관리하게 하겠음 금융회사는 필요 최소한 의 정보만 을 보관토록 하여, 만일의 정보유출 시에도 발생가능한 피해를 최소화 ㅇ 현재 금융회사의 정보보유 실태를 전면적으로 점검 * 하여, 꼭 필요한 정보 만을 수집 보관하도록 추진 * 금융회사별로 정보보유현황에 대한 자체점검 및 타당성 평가 실시 ㅇ 금융회사의 개인신용정보 보유 기간을 거래 종료일로부터 5 년 으 로 제한하는 방안 추진 ㅇ 거래가 종료된 고객의 정보는 현재 고객정보와 분리하여 보관 관리 - 3 -
* 하고, 외부 영업 목적의 활용은 엄격하게 제한 * 방화벽(firewall) 설치 : 1별도 DB 로 분리되고, 2영업조직의 경우 접근권한 이 제한되며 3외부영업( 마케팅) 목적의 활용을 엄격히 제한 2 제3자에 제공되는 정보는 엄격히 제한할 것임 정보를 수집하여 제3자 제공 또는 금융그룹 내부적으로 관리시 소 비자 피해를 방지하기 위한 방안 마련 ㅇ 제3 자에 대한 정보제공 방식을 개선하여, 포괄적 동의 를 원칙적 으로 금지하고, 정보제공 대상 회사를 명시 ㅇ 제3자가 취득한 정보의 활용기간은 당초 활용목적에 필요한 기간을 구체적으로 명시( 예 : 5 년 또는 서비스 종료시 등)하고, 마케팅 목적 활용은 원칙적으로 제한 ㅇ 금융지주 그룹 내에서 공유하는 고객정보 활용을 제한 3 불법 정보유통에 대한 수요를 제거하여 유출 유인을 원천 차단 불법유출된 정보를 활용한 대출모집 영업 등을 강력히 제재하여 불 법적인 정보유통의 수요측 요인을 근본적으로 제거 ㅇ 대출모집인 등이 불법 유출 정보를 활용하여 영업한 경우, 자격을 박탈하고, 타 업권의 모집인 등록을 제한 ㅇ 대출모집인이 불법 유출 정보를 활용한 경우, 전속 금융회사에 대해 엄정한 관리자 책임( 기관제재, 과징금 등) 부과 4 금융회사 정보관리를 강화하고, CEO 등의 책임도 강화 정보보호와 관련된 금융회사와 임원의 책임을 확대하고, 준수 등을 위한 절차도 강화 보안규정 ㅇ 일정규모 이상의 금융회사에 대해서는 신용정보 관리 보호인을 임 원 으로 임명하여 권한과 의무를 강화 * 신용정보법에 따라 금융회사 내에서 신용정보 내부 관리규정 제정 및 준수여 부 점검, 고충처리 등 업무를 총괄하는 책임자 ㅇ 금융회사의 자체 보안이행 점검 프로세스를 강화하고, 금감원 검 - 4 -
사시 보안규정 준수여부를 철저히 점검 5 정보유출시 제제를 대폭 상향조정하여 정보유출 재발 차단 정보유출관련 행정제재, 형벌 등 사후제재를 대폭 강화하고 징벌적 과 징금제도를 도입 ㅇ 개인정보를 유출 활용한 금융회사에 대해서는 등을 감안하여 대폭 상향된 과징금 부과 이로 인한 사회적 파장 참고 : 공정거래법은 부당한 공동행위 금지 위반 시 20억원 이하의 과징금 부과( 공정거래법 제22 조) ㅇ 신용정보법, 전자금융거래법 등의 정보유출 관련 형벌수준을 가급적 금융 관련법 최고 수준으로 대폭 상향 * (현행) ( 신용정보법) 5 년이하 징역, 5 천만원이하 벌금 ( 전자금융거래법) 7년이 하 징역 또는 5천만원 이하 법률 참고 : 현행 은행법은 임직원이 업무상 알게된 비공개정보를 누설한 경우 10 년이하 징역 또는 5 억원 이하 벌금을 부과( 은행법 제66 조) Ⅲ 향후 계획 금번 대책은 발표 즉시 실행에 착수하여 최대한 신속히 추진할 것임 ㅇ 2월 초까지 관계부처 합동 금융회사 고객 정보보호 정상화 T/ F 에서 구체적인 세부 실행방안을 확정 ㅇ 향후 금융회사 고객정보보호 정상화 T/F 를 통해 동 대책 이 행상황을 점검하는 등 차질없는 추진을 독려해 나갈 것 - 또한, 추가적 제도개선 제기사항 등에 대한 의견 수렴을 지속적 으로 실시하여 필요시 개선방안 마련 등도 추진 < 붙임 : 금융회사 고객정보 유출 재발방지 대책 > - 5 -
붙 임 금융회사 고객정보 유출 재발방지대책 2014. 1. 22 기획재정부 미래창조과학부 법무부 안 전 행 정 부 금 융 위 원 회
목 차 Ⅰ. 사고 개요 및 경과 1 Ⅱ. 금번 사고관련 안정화 방안 2 Ⅲ. 향후 재발방지방안 9 Ⅳ. 향후 계획 19
I. 사고 개요 및 경과 금번 고객정보 유출 사건은 기본적으로 정보 유출자가 검찰에 기소된 중대한 범죄 사건임 ( 검찰 발표) 검찰( 창원지검)은 3개 카드사(KB, 농협, 롯데)의 개인 정보 약 1억건 * 이 외부 파견직원( 신용정보조회회사 KCB 소속)을 통해 외부에 유출( 12.12~ 13.12 월)되었음을 발표( 14.1.8) * KB카드 약 5,300 만건, NH카드 약 2,500 만건, 롯데카드 약 2,600만건 ㅇ 검찰은 불법수집자 및 최초유포자가 검거되었고 현재까지 수사결과 고객정보의 추가유통은 확인되지 않은 것으로 발표(1.8, 1.19, 1.21) ( 유출 건수) 금감원이 검찰로부터 원본자료를 넘겨받아(1.10) 확인한 결과, 정보유출 건수는 3개사 합계 약 8,500만건 수준 ( 사망자, 기업, 가맹점 등은 제외, 카드사간 중복 포함) ㅇ 3개 카드사의 신용카드와 체크카드 고객 뿐 아니라 은행고객 정보, 탈회고객 정보 등도 다수 포함 ( 유출 정보) 성명 주민번호 주소 휴대전화번호 직장명 등 개인 정보와 결제계좌, 연소득 등 신용정보도 포함되어 있으나, 비 밀번호와 CVC( 본인인증코드)는 유출되지 않았음 * 유출정보 항목(18 개) 식별정보 (9): 성명, 주민번호, 여권번호, 이메일, 전화번호, 주소, 직장, 결 혼여부, 자가용보유여부 / 신용정보 (9): 카드발급정보, 카드번호, 유효기 간, 결제계좌, 신용한도금액, 이용실적, 연소득, 연체금액, 타사카드 보유 현황 ( 사고 대응) 금융위 검찰 금감원 등 協 業 을 통해 상황 분석 및 개별 통지, 재발 방지대책 마련 등 조기대응에 노력하였으나, * 1 검찰측 수사내용 발표 전 입수 2 근본대책 마련을 위한 고객정보보 호 정상화 TF 가동 3카드사별 홈페이지 조회시스템 구축 및 개별통지 - 1 -
ㅇ 유출건수가 대량이고 ( 개인정보보호법에 따라) 모든 유출고객에게 통지하는 과정에서 국민불안감이 증폭 - 2 -
Ⅱ. 금번 사고 관련 안정화 방안 당초 유출되었던 정보가 능성은 없음 유통되지 않아 이에 따른 피해 가 국민불편 최소화 및 불안감 확산 차단에 주력하고, 사고 경 로를 철저히 점검 분석하여 책임자를 엄중히 문책 1 국민 불안감 해소 방안 < 추가 유통 가능성에 대한 입장 > 금번에 유출되었던 정보는 전량 회수되어 부정사용 가능성은 없음 ㅇ 수사당국은 불법수집자와 최초 유포자가 검거되어 현재까지 수사결과 추가 유통은 확인되지 않았다고 수차례에 걸쳐 밝 힌바 있음 해당 카드사를 통해 확인해본 결과, 그동안 금번 유출사고에 따른 피해사례가 없었음 금감원의 자료분석 결과 신용카드 비밀번호나 본인인증코드 (CVC)와 같은 중요정보는 포함되어 있지 않았음 카드를 교체할 필요가 없으며, 기존 카드를 그대로 사용하시면 됨 < 금번 사고와 관계는 없지만 카드 사용관련 안심 대책 추가 시행 > 카드 부정사용에 따른 피해에 대해서는 ( 관련법률에 따라 종전과 같 이) 카드사에서 전액 보상 3개 카드사 가 무료로 결제내역 확인 문자(SMS) 서비스 를 제공 KCB( 코리아 크레딧 뷰로)는 全 국민에 대해 1년 동안 개인정보보 호 서비스 * 를 제공 * 대출 카드발급 관련업무 처리과정에서 고객정보를 조회한 사실을 문자로 통보 - 3 -
등 카드번호와 유효기간으로 결제가 가능한 일부 가맹점( 학습지, 홈쇼핑 등)에 대해서는 확인전화 *, 휴대폰 인증 등 추가 본인확인 수단의 도입을 검토 부정사용 가능성을 원천 차단 * 카드사가 거래승인시 ( 사전에 등록된) 회원 전화번호로 본인 여부를 확 인 국민 불안감을 악용한 금융사기 시도가 있을 수 있으므로, 예방조치를 강력히 시행 ㅇ 전자금융사기 예방서비스 적용범위를 일시적으로 확대 * ( 현행) 300만원 이상 이체시 본인인증추가 ( 14.3 월까지) 이상 100만원 전자금융사기 예방서비스 : 개인고객이 공인인증서를 ( 재) 발급하거나 1일 누적 300 만원 이상 이체시 본인확인절차( 전화 SMS) 추가 ㅇ 스미싱 대응시스템 * 의 조기구축을 추진( 미래부 협조) * 스미싱 의심문자를 자동탐지하여 문자발송을 차단하는 시스템. 당초 금년 6월말 까지 구축예정이었으나 1/4 분기내에 완료( 이르면 14.3 월부터 서비스 시행) ㅇ 보이스피싱, 스미싱, 불법사금융 등 사기 및 범죄에 이용된 전화번호를 차단 * ( 미래부 협조) * 근거법인 전기통신사업법 개정안 국회통과 노력( 당정협의, 14.1.20) 금감원과 카드사에 24시간 운영되는 피해유출신고센터 를 설 치하고 불법 유통되는 정보를 사전에 탐지 차단 * KB카드 1899-2900, 롯데카드 1588-8100, NH 카드 1644-4000(1.17~) / 1644-4199(1.20~) 휴대전화번호 등 기본 정보만으로 본인확인 없이 대출하는 대 부업 행태 단속 강화( 최대 등록취소, 과태료 2 천만원 부과 가능) - 4 -
ㅇ 제3자의 대출신청 등 피해 예방을 위해 법령상의 본인확인 * 및 * 대출절차 준수 ** 등을 철저히 관리 감독 공인인증서 또는 본인명의 휴대전화 인증 ** 계약서류 징구 후 대출취급, 계약서류의 자필기재 등 - 5 -
2 민원 처리 과정에서 국민불편 최소화 방안 가. 점포 확대 및 영업시간 대폭 연장 (KB 농협) 은행 점포 혼잡 및 대기시간 단축 노력 ㅇ 당분간 카드관련 업무시간을 연장( 오후 4시 9시)하고 주말 에도 영업하는 등 비상근무 체제 유지 ㅇ 후선인력도 대거 영업점에 투입( 각사 약 1 천명)하는 등 영업점 에서 카드 재발급 업무 담당 인력을 확충 ( 롯데) 백화점외에 마트, 카드사 지점 등에서도 카드를 발급토 록 하고, 운영시간도 연장( 폐점시간 ( 백화점 20 시, 마트 24 시) 이후에도 객장에 남아 있는 회원에 대해서는 발급 사무를 처리) * ( 종전) 백화점 31개 ( 변경) 총 159 개( 백화점 31 개, 마트 64 개, 기타 65 개) ㅇ 현장에서 인터넷 신청 등을 유도하는 안내문을 사전에 배포하여 대기자 수 감소 노력 나. 콜센터 대기 시간을 획기적으로 단축 콜센터 직원을 2~3배 이상 순차적으로 증원하고 있음(1.20~) * (KB 국민) 1,052 명 1,855 명, ( 롯데) 717명 2,320 명, (NH) 503명 923명 미래부 KT와 협력하여 고객응대에 필요한 통신회선을 대폭 확 충( 총 4,880회선 6,380 회선, 1.22~) * (KB 국민 ) 2,700 회선, ( 롯데 ) 1,400 회선 2,600 회선, (NH) 780 회선 1,080-6 -
회선 - 7 -
다. 인터넷 이용 환경 개선 카드사 홈페이지 정보유출 조회시스템 에서 카드 재발급, 해 지, 비밀번호 변경 화면으로 바로 연결 가능 접속자 증가시에도 서버가 지연, 다운되지 않도록 컴퓨터 서 버를 증설하고 임차 인터넷 회선도 확대 * 롯데: 서버증설(CPU: 4core 12core, 메모리 인터넷 대역폭 확대(100 MB 400MB) 64GB 128GB), KB: 네트워크 대역폭 확대(4GB 5GB), 인스턴스( 프로세서) 증설 NH: 전화인증 회선속도 증속(56kbps 1,024kbps) 라. 카드 재발급 기일( 평상시 최장 14 일) 단축 실물카드 제작업체와의 제휴를 넓히는 한편, 제작 공장도 24 시간 가동하여 카드발급 소요 물량을 적시에 확보 카드를 배송하는 제휴 업체도 확대하여 발급 당일 배송에 노력 - 8 -
3 철저한 사고원인 점검 및 엄정제재 금번 고객정보 유출사건은 기본적인 보안절차만 준수하였더라도 충분히 막을 수 있었던 전형적인 인재( 人 災 ) 사건임 ㅇ 즉, 제도나 보안규정의 문제라기보다는 관련자들의 이행과 정이 적절히 확보되지 못 한데서 비롯된 사고임 ㅇ 수사기관에 따르면 신용정보조회회사(KCB) 직원이 3 개 카드사의 카드 위 변조 방지시스템 개발을 용역수행하는 과정에서 불법적으로 카드사의 고객 정보를 대량으로 절취 ㅇ 이 과정에서 해당 카드사가 외부인의 USB 사용 차단, 고객정 보 암호화 등 법규상 안전성 준수 의무 등을 제대로 이행 하지 않았던 것도 원인임 반면 동일한 직원이 파견되어 업무를 수행했던 다른 카드사의 경우 에는 보안규정을 잘 준수함으로써 정보유출 사고가 발생하지 않았음 개인정보보호 및 금융보안에 대한 경각심 환기 차원에서 엄 정한 책임소재 규명 및 강력한 제재 조치 불가피 금번 사고를 초래한 당사자에 대해서는 형사처벌과 별도로 최 고한도의 행정제재를 조속한 시일내에 추진 ㅇ 해당 카드사에 대해서는 법령상 부과 가능한 최고한도 수준 ( 예: 영업정지 3개월 * )의 제재를 2월중 추진 * 최고 영업정지 기간도 확대하여 제재강화 추진 < 후술, 18p 참조> 금감원은 현장 검사(1.13 ~ ) 를 조속히 마무리하고 행정절차 개시 ㅇ 사고발생시의 전 현직 관련 임직원 (CEO 포함)에 대해서는 해임 권고 직무정지 등 중징계 부과 추진 NH 카드, KB 카드, 롯데카드 사장 모두 이미 사의를 표명(1.20) - 9 -
4 범정부적 정보유출사고 대응체계 구축 운영 금융위 금감원 카드사간 운영중인 일일상황 대책반 을 24 시간 운영( 총리실 안행부 방통위 등 관계부처와도 긴밀히 협조) * 주요 점검내용 : 홈페이지 조회건수, 재발급 해지 신청, 창구 동향, 고객불 만 피해사항 및 대응조치, 특이사항 사태 조기수습을 위해 금감원의 현장지원 기능 강화 ㅇ 3 개 카드사 긴급피해 예방대책 이행을 지원할 현장지원반 가동 - 카드사 당 각 6명의 검사역을 현장에 파견하여 24시간 지원 (1일 연인원 총 18 명, 1일 3 교대 근무) - 현장에서 카드사의 피해고객에 대한 상담 및 카드교체 발급 해 지 이행 실태를 직접 점검하고, 소비자 불편사항 해결 지도 ㅇ 카드 재발급 해지 불편 신속 해결을 위한 비상지원반 (10 명) 운영 - 카드사의 고객 상담, 카드 교체발급 해지 동향을 파악하고 주요 민원사항 등을 일일 점검 旣 설치된 불법사금융 척결 T/F" 를 활용하여 대출중개 등과 관련한 개인정보의 불법 수집 유통을 凡 정부 차원에서 집중단속 * 실행 ( 총리실 주관, 검 경 지자체, 금융위, 금감원 등 협조) * 특정한 전화나 이메일에서 자주 스팸 등이 발송되는 경우 관련 정보를 끝까지 추적해서 단속 ㅇ 조사 후 불법정보 유통이 확인될 경우 엄정하게 처벌 국민불안 해소를 위해 관계기관과 긴밀히 협력하여 정보제공 홍 보 강화 ㅇ 금융위 금감원 금융권 협회 카드사 등의 홈페이지에 개인정보 유출 대응매뉴얼 ( 첨부 ) 과 핵심 Q&A 를 게재하여 안내 ㅇ 카드사도 대국민 사과와 불안해소를 위해 全 일간지에 광고게재(1.21~23) - 10 -
참 고 개인정보 유출 관련 필수체크사항 10가지 1. 최근 3개 카드사에서 유출되었던 정보는 전량 회수되었고 시중에 유통되 지 않았으니 고객 여러분께서는 전혀 불안해하실 필요가 없습니다. 유출되었던 정보가 이미 회수되어 고객 여러분들의 피해가능성이 없으니, 기존카드 를 그대로 사용하셔도 됩니다. 2. 카드사에서 무료로 제공하는 신용카드 사용내역 SMS 서비스 를 신청하 시면 카드를 사용할때마다 결제내역을 고객님께 즉시 알려드립니다. 3. 신용카드의 타인 부정사용이 의심스럽다면 카드사 홈페이지, 등을 통해서 결제내역을 확인해보시기 바랍니다. 콜센터 4. 원하실 경우 카드사 홈페이지, 콜센터 또는 카드영업점 등을 통해 카 드 비밀번호 변경, 무료 재발급 또는 카드 해지를 할 수 있습니다. 5. 만에하나 이번 정보유출로 인한 손해가 발생하더라도 전액 보상해 드 리니 염려하지 마시고, 피해 내용을 카드사 홈페이지, 콜센터 또는 영업점 등에 신고하여 도움을 받으시기 바랍니다. 보이스피싱, 스미싱 등 추가 범죄에 각별히 유의하시기 바랍니다. 1. 카드사는 어떠한 경우에도 문자메시지(SMS) 를 통해 정보유출 관련 안내를 하지 않습니다. 2. 출처가 불분명한 이메일이나 스마트폰 문자메시지의 인터넷 링크는 절대 클릭하지 말고 바로 삭제하시기 바랍니다. 3. 공공기관, 금융당국 및 금융회사 직원을 사칭하여 카드 비밀번호, 본 인인증코드(CVC) 등 중요 정보를 요구하는 경우 절대 답변하지 말고 바로 끊으세요. 4. 보이스피싱 등 금융사기가 의심되면 즉시 경찰청( 112), 금감원( 1332) 또는 금융회사 콜센터에 신고하세요. 5. 24 시간 운영되는 피해신고센터 에서도 개인정보 유출 피해에 대 응할 수 있도록 도와드립니다. KB국민카드 NH농협카드 롯데카드 홈페이지 www.kbcard.com card.nonghyup.com www.lottecard.co.kr 콜센터 1588-1688 1588-1600, 1644-4000 1588-8100 피해신고센터 1899-2900 1644-4199 1588-8100 02-2211-5500 051-606-2700-11 -
Ⅲ. 향후 재발방지방안 제도 개선 기본 방향 개인신용정보 수집 보관 관리 및 유출사고 대응 등 전반에서 제기되는 문제를 점검하여 보다 근본적으로 개인정보유출 재발을 방지하는 제도개선 방안을 마련 추진 1 금융회사는 필요최소한 의 정보만 보유토록 하여, 만일의 정보유출시에 발생할 수 있는 피해를 최소화 * 금융회사 정보보유 실태 전면 점검, 과거고객의 정보 별도 관리 및 보존기간의 합리적 설정 등 2 금융회사 정보수집 보관방식을 소비자 관점에서 대폭 개선 * 제3 자 정보제공 동의시 포괄적 동의 제한, 마케팅 목적 제3 자 정보활용은 원칙적으로 제한, 금융지주그룹내 고객정보 활용 제한 ( 외부영업활용 제한 ) 등 3 불법적인 정보유통의 근본적인 수요측 유인을 제거 * 불법유출 정보를 활용한 대출모집인 등의 자격박탈 및 영구퇴출, 대출모집인이 불법 유통정보 활용시 전속 금융회사 제재 등 4 정보보호 관련 금융회사 및 임원의 책임을 확대 * 개인신용정보책임자 등의 CEO 및 이사회 주기적 보고 의무화, 정보 보호 관련 내부통제 이행에 대한 점검 프로세스 강화 등 5 정보유출관련 행정제재, 형벌 등 사후제재를 대폭 강화하고 징벌적 과징금제도를 도입 * 개인정보를 유출하거나 불법적으로 활용시 징벌적 과징금 부과, 형 벌( 징역 벌금) 수준을 대폭 상향조정 등 향후 이러한 방향으로 2월초까지 관계부처 합동 금융회사 고객정보보호 정상화 T/F 에서 구체적인 세부 실행방안을 확정 - 12 -
1 보유정보의 적정성 및 안전성 확보 가 정보 수집 보유범위의 적정성 검토 ( 현황 및 문제점) 금융회사는 제휴서비스 제공 및 마케팅 등을 위 해 다양한 개인정보를 수집하여 관리하고 있어 ㅇ 신용도 파악 등 영업에 필수적이지 않은 개인정보를 과도하 게 수집 보유한다는 지적이 제기 * 일반적으로 약 20 여개 항목( 예: 전화번호, 주소) 에 대해, 많은 경우 약 50여 개 항목의 정보를 수집 ( 개선방안) 현행 금융회사의 정보보유 실태를 전면 점검하여 꼭 필요한 정보만 수집 보관하도록 추진 ㅇ 우선, 금융회사별로 정보보유현황에 대한 자체점검 및 타당성 평가를 실시( 14년 1/4 분기)하여 불필요한 정보의 수집을 중단 ㅇ 금융당국은 금융회사별 자체점검 작업의 이행실태 등을 점검 * 금융권 공동으로 보유정보 타당성 분석을 위한 연구용역도 추진 나 정보보유 기간의 합리적 축소 ( 현황 및 문제점) 금융회사는 상법, 전자금융거래법 등 관련법 령에 따라 5 년~10년 이상 개인정보를 보유 중 * 1상법( 33 조) : 장부 및 영업관련 중요서류 10 년, 전표 등은 5년간 보 존 2전자금융거래법 ( 22 조) : 전자금융거래 신청 조건변경사항 및 1만원 이상 거래금액 기록 등은 5년간 보존 ㅇ 금융회사별로 정보보유기간이 상이하고 과다하게 관련정보를 오랫동안 보유한다는 지적 ( 개선방안) 금융회사의 개인신용정보 보유기간은 다른 법률에 특별한 규정이 없는한 거래종료일로부터 5 년으로 제한 ( - 13 -
신용정보법 개정) 다 거래종료 고객의 정보보호 강화 ( 현황 및 문제점) 금융회사는 거래종료고객 ( 예: 카드회원 탈퇴 등)의 개인정보도 계속 보유 중 ㅇ 거래종료고객은 개인정보보호법에 따라 구할 수 있으나 본인정보 삭제를 요 - 금융회사의 경우 관련법상 일정기간 정보보존의무 및 향후 분쟁대비 등과 관련 대부분 즉시 삭제가 이루어지지 않음 * 개인정보 삭제를 요구할 수 있으나, 그 개인정보가 다른 법령상 수집대상으 로 명시되어 있는 경우에는 제외 ( 개인정보보호법 제 36 조) ( 개선방안) 거래종료고객 정보는 현재 고객정보와 별도로 분리 ( 방화벽(Fire-wall * ))하여 보관 관리하고, 외부영업( 보험TM, 대출상 품 권유 등 마케팅 활동) 목적의 활용을 엄격히 제한 * 방화벽(Fire-wall) 을 설치하면 1별도 DB로 구분되고 2영업조직의 경 우 접근권한이 제한되며 ( 신용정보업 감독규정 개정) 3외부영업 목적의 활용을 엄격제한 ㅇ 거래종료고객에 대한 개인신용정보 보호요청제도 도입 검토 - 고객이 정보보호를 요청하면 1불필요한 자료를 삭제하고 2보관이 필요한 정보는 암호화하여 별도 보관하는 한편, 3 금융회사가 동 자료를 활용하는 경우 본인에게 통지 ( 신용정보법 개정) - 14 -
라 계열사간 정보공유제도 개선 금융지주그룹내 정보공유 개선 ㅇ ( 현황 및 문제점) 금융지주그룹내에서는 금융지주회사법상 특례에 따라 고객의 동의없이 자회사간 고객정보 제공이 가능 - 다만, 금융지주회사법은 고객정보의 엄격한 관리의무도 부여 * 고객정보관리인 선임( 지주사 및 각 자회사 임원), 고객정보취급방침 교부 설 명, 업무지침서 작성 보고( 금감원 ) 등의 의무를 부과 ㅇ ( 개선방안) 금융지주회사법상 특례에 따른 정보활용은 엄격히 한정 - 그룹내 공유가 가능한 정보는 원칙적으로 신용위험관리 등 내부경영관리 목적으로만 한정 * 고객 동의 없이 공유되는 정보는 대부분(98.3%) 위험관리, 고객등급 산출 등 내부경영관리 목적으로 이용 중 - 사전동의 없이 고객정보를 외부영업에 활용하는 경우 업무처 리절차를 대폭 강화 * 예시 : (현행) 고객정보관리인 승인 ( 개선) 이사회 승인 및 이용내역 고객 통 지 ( 금융지주회사의 고객정보업무지침서 개정) 분사(Spin-off) 로 인해 보관한 기존 개인신용정보 활용 ㅇ ( 현황 및 문제점) 분사된 회사는 영업시 활용목적 등으로 기존의 고객정보를 현재 고객정보와 혼합하여 보관 중 * 국민은행 국민카드의 경우 분사 이전의 모든 개인정보 자료를 국민 카드가 분사한(spin-off) 이후에도 국민카드에서 보관하고 있던 사 례 ㅇ ( 개선방안) 분사된 회사는 그 회사의 현재 고객이 아닌 개인 신용정보는 별도로 분리( 방화벽(Fire-wall) 설치) 하고, - 15 -
- 분리해서 관리하는 정보 는 일정 기간(5 년) 이 지나면 폐기 하도록 의무화( 신용정보법 개정) 2 정보관리 및 정보유통과정 개선 가 개인신용정보보호 책임자의 권한 및 책임 강화 ( 현황 및 문제점) 개인신용정보보호에 대한 CEO의 관심이 족하고, 금융회사 임원에 대하여 정보보호현황에 대한 충 분한 보고가 이루어지지 않음 ㅇ 개인정보보호법, 신용정보법 등에 따른 다양한 정보보호 의무를 이행하기 위한 관리체계 구축이 미흡 부 (개선방안) 신용정보 보호책임자가 개인정보 수집 보관 처리 전 반에 대한 권한과 책임을 확보할 수 있도록 조치 - 일정규모 이상의 금융회사에 대해서는 신용정보 관리 보호인 * 을 임원 으로 임명하여 권한과 의무를 강화( 신용정보법 개정) * 신용정보법에 따라 금융회사 내에서 신용정보 내부 관리규정 제정 및 준수여부 점검, 고충처리 등 업무를 총괄하는 책임자 - 신용정보 관리 보호인은 중요사항에 대해서 CEO에 대해 월 1회 이상 *, 이사회에 연 1회이상 ** 정기적으로 보고토록 의무화 ( 신용정보법 개정) * CEO 가 보고내용에 대해 서명하게 함으로써, 정보보호에 대한 관리책임 명확화 ** 대형금융사의 경우 반기별 2회이상 보고 등 금융사 규모별로 차등 화 - 또한, 정보보호최고책임자(CISO * ) 와 겸임을 허용하여, 금융 회사가 종합적으로 정보관리 보호를 수행토록 추진 * CISO(Chief Information Security Officer) : 전자금융거래법에 따라 - 16 -
전자금융거래 안정성 확보, 임자 이용자 보호 계획 수립 등을 총괄하는 책 * 정보보호최고책임자의 경우 전임제를 통해 보호업무에 대한 적정한 권한 부여 중(* CISO 전임제 : 13.7월 금융전산 보안강화 종합대 책) - 17 -
나 내부통제제도 개선 및 외주업체 관리 강화 정보보호 내부통제제도 실효성 강화 ㅇ (현황 및 문제점) 고객정보 보호를 위한 내부통제 규정 * 은 마 련되어 있으나 실행단계에서 제대로 지켜지지 않아 내 외부 직원 에 의한 정보유출사고 발생 * 자료 접근통제, 조회 출력 통제, 인터넷 차단 등( 전자금융 감독규정 12 및 13) ㅇ (실효성 강화) 금융회사의 자체 보안이행 점검 프로세스를 강화 * 하고, 금감원 검사시 보안규정 준수여부를 철저히 점검 * ( 금융회사) 자체 보안규정을 보완 구체화하여 규정 준수여부를 CISO 책임 하에 매월 점검하고( 보안점검의 날 지정), 취약점은 즉시 보완 * ( 금감원 ) 보안관련 법규정 준수여부를 철저히 검사하고, 미준수시 엄중 제 재 - 내부 보안통제 실효성 강화를 위해 직원의 업무별 직급별 고객정보 접근권한 범위를 명확히 하는 보안등급제 추진 - 금감원에 기동점검반 을 운영하여 내부통제상황 및 정보보 호 현황 등을 불시에 점검하여 평소에 이행을 담당 IT 외주업체 관리 강화 ㅇ (현황 및 문제점) 금융의 정보화 전산화 확대로 인해 정보시스템 개발 유지 및 정보처리의 외부위탁이 불가피하게 증가 - 외주용역에 대한 통제규정 * 은 마련되어 있으나 실행단계에 서 실무적 편의를 추구하다가 규정위반 사례 발생 * 최소작업권한 부여, 전산장비 반출입통제, 테스트시 가상자료 사용 및 종료시 자료삭제, 고객정보유출금지 등( 전자금융감독규정 13 및 60) ㅇ (관리 강화) 금융회사의 외주용역에 대한 승인 사후관리 절차를 명확히 하고 CEO CISO의 사전 - 18 -
- CISO 책임 하에 외부저장매체 ( 노트북, USB 등)의 반입통제를 철저히 시행 - 금감원 검사시 외주용역 통제규정 준수여부를 우선 점검 - 19 -
다 제3자 제공정보 엄격화 ( 현황 및 문제점) 금융회사가 고객 정보를 제공받을 때 제3 자에게 제공할 수 있음을 사전에 고지하고 동의를 받도록 하고 있으나 ㅇ 정보제공 동의서 에 정보제공 대상회사의 개별 리스트가 없 이 포괄적으로 동의를 받는 한편 - 필수식별정보 外 에도 사실상 정보제공 양식상 동의를 강요하 는 관행 지속 * 선택적으로 동의할 수 있는 개인정보 항목을 한꺼번에 제시하여, 부가 서비스를 하나라도 이용하려는 경우에는 제시된 모든 개인정보를 모 든 제3자에게 제공하는데 동의 ㅇ 취득한 정보의 보관 활용할 수 있는 기간도 불명확하게 정의 * 현재는 정보활용 목적이 다 한 경우 등으로 포괄적으로 규정 중 (개선방안) 제3 자에 대한 정보제공 동의방식 범위 등을 점검하고, 포괄적 동의를 원칙적으로 제한 1 정보제공이 과다하게 이루어지는 것을 막기 위해 원칙적으로 동의서에 정보제공대상 회사를 개별적으로 명시하는 경우에 만 정보제공 가능 * 제공정보의 보호 필요성 등을 감안하여 유형별로 그룹핑하여 동의를 얻는 방식도 허용 검토 - 제공대상 정보도 관련 부가서비스 이용 등과 관련 필요한 정보로 한정하여 선택할 수 있도록 개선 2 제3자 취득정보의 활용기간은 당초 정보 활용 목적에 필요한 기 간을 구체적으로 명시( 예: 5 년 또는 서비스 종료시)하고, 마케팅 목 적 활용은 원칙적으로 제한 3 정보제공 금융회사는 제3자가 제공받은 기록을 제대로 파기 했는지 확인할 의무를 부과 - 20 -
라 불법유통 정보에 대한 수요 차단 (현황 및 문제점) 대출모집인 등 * 이 고객정보를 불법유출하거나 불법정보를 이용하더라도 이에 대한 제재가 거의 없음 * 대출모집인, 대부중개업자, 보험설계사, 카드모집인 등 ㅇ 대출모집인 등이 대출마케팅 목적으로 개인정보수요가 높아 불 법으로 개인정보를 확보 유용하는 등 불건전행위가 지속 ㅇ 대출모집인 등을 활용하는 제도적 규율이 미흡 금융회사의 관리적 책임에 대한 ( 개선방안) 개인정보를 불법으로 유출하거나 활용하는 행위의 제재를 대폭 강화하여 불법정보 유출 수요를 원천 차단 1 고객정보를 불법유출 사용한 대출모집인 등은 자격을 박탈하고 향후 타 업권 모집인 등록도 제한(one-strike out 제 도입) ( 대출모집인제도 모범규준, 대부업법 등 관련업법 개정) * ( 대출모집인) 불법으로 정보거래시 금융회사와 계약을 해지해야하 나, 2년 경과시 재등록가능 재등록 금지 ** ( 대부중개업자, 보험설계사, 카드모집인) 등록제한 및 결격사유로 개인정보 불법유출 활용 명기하여 퇴출 2 대출모집인 등의 불법 정보 활용행위에 대해서는 관련 금융회사 직원의 행위로 보아, 기관제재, 과징금 등 금융회사에 대한 엄정한 관리자 책임을 부과 - 법인인 대부중개업자에 대해서는 임직원 제재 및 과징금 부과 신설 ( 신용정보법 및 대부업법 개정) - 21 -
3 사후제재 강화 가 징벌적 과징금 제도 등 도입 (현황 및 문제점) 금융회사가 개인정보를 유출하거나 불법 유출된 정보를 활용하는 경우에도 충분한 금전적 제재가 부과되지 않 아 정보관리가 미흡 ㅇ 대출모집인이 불법적으로 유출된 정보를 활용하는 경우 이를 활용한 금융회사의 관리책임 확보가 미흡 (개선방안 ) 개인정보를 불법적으로 유출 활용하는 금융회사 등에 대해서는 징벌적 과징금 을 부과하여 재발을 차단 1 불법 수집 유통된 개인정보를 활용하여 영업활동을 한 금융회 사에 대해서는 일정기준( 예: 관련매출액의 1%)에 해당하는 과 징금을 부과( 사실상 상한이 없음) - 대출모집인 의 불법적인 정보활용을 제대로 관리 감독하지 못 한 경우에도 해당 금융회사에 대해 과징금을 부과 * 대출모집인은 대출모집인 모범규준 에 따라 금융회사에 등록하고, 해당 금융회사가 관리토록 하고 있음 (1인 1 사 전속 원칙) 2 개인정보를 불법유출한 금융회사에도 일정기준에 따라 과징금 부과 - 다만, 불법 정보유출이 이익과 직접 연계되지 않는 측면이 있으므로 금액한도를 설정 - 금융회사의 경우 금융시스템 혼란 등 사회적 파장을 감안하 여 높은 한도를 부과 * 정보통신망법은 1 억원 이하로 하고 있으나 신용정보법은 대폭 상향( 예: 50 억) 불법정보 유출관련 과징금 규정사례 정보통신망법 : 전기통신사업자 등이 개인정보관련 의무 위반시 매출액의 1% ( 다만, 개인정보 분실 도난 등은 1억원 이하) 과징금 부과 ( 신용정보법 개정) 3 금전적 제재의 실효성 확보를 위해 관련위반자에 대한 과태료 수준도 상향 조정 ( 신용정보법 개정) - 22 -
* 예 : ( 현행) 1 천만원 ( 상향조정) 5천만원 - 23 -
나 개인정보 유출 등에 대한 형벌 수준 대폭 강화 (현황 및 문제점) 개인신용정보 유출시 사회적 파급효과에 비해 신용정보법 등 금융법의 형량이 낮음 < 개인정보 유출 관련 법령상 형량 수준 > 구분 신용정보법 전자금융거래법 개인정보보호법 적용대상 신용정보제공이용자 전자금융업자 모든 개인정보처리자 정보유출자 형량 ( 은행, 카드 등) ( 금융회사 등) 5년 이하 징역 또는 7년 이하 징역 또는 5년 이하 징역 또는 5천만원 이하 벌금 5천만원 이하 벌금 5천만원 이하 벌금 (개선방안) 신용정보법, 전자금융거래법 등의 정보유출 관련 형 벌수준을 가급적 금융 관련법 최고 수준으로 대폭 상향 * 현행 은행법에 따르면 임직원이 업무상 알게된 비공개정보를 누설한 경 우 10년이하 징역 또는 5 억원 이하 벌금을 부과할 수 있음( 은행법 66 조) 다 금융회사 등 관리책임 확보를 위한 제재수준 강화 (현황 및 문제점 ) 신용정보법상 금융회사의 정보유출시 임직원에 한 제재 근거는 있으나, 강력한 제재를 부과하기 어려움 대 * 임원은 직접적 책임이 있는 행위자로 분류될 수 없고, 관리책임을 묻기 어려운 구조 불법행위에 대한 ㅇ 또한 신용정보회사 등의 외주업무가 증가하는 가운데, 관련 직원이 정보를 유출한 경우에도 기관에 책임을 묻기 어려움 * 그간 개인정보 유출 등이 있는 경우 해당 금융기관 임 직원에 대해서 통상 주의 수준의 낮은 제재조치가 이루어져 왔음 (개선방안) CEO 등 임원에 대해서도 직접적 책임을 부과하여, 사고 발생시 행위자로 보아 엄격한 제재가 이뤄지도록 개선 * 제재규정을 개정하여 유출된 개인정보건수 등에 따라 임원해임 등 양형기준 엄격화 ㅇ 개별 금융사에 대한 기관제재 확대( 예: 영업정지 3개월 6 개월) - 신용정보회사에 대해서도 영업정지 등 기관제재를 도입 - 24 -
( 신용정보법 개정) - 25 -
Ⅳ. 향후 추진계획 금번 사고관련 안정화 방안 은 발표 즉시 실행에 착수하여 조기에 완료 향후 재발방지 방안은 2월초까지 관계부처 합동 금융회사 고객정보보호 정상화 T/F 에서 구체적 세부 실행방안을 확정 1 법률 개정이 불필요한 사항은 가능한 신속히 실행하여 1/4 분기중 조치 완료 2 법률 개정 사항중 국회 계류법안을 활용할 수 있는 부분은가 급적 2월 임시국회에서 통과되도록 추진 - 그 외 사항은 적극적 국회 설득 등을 통해 별도 개정안을 1/4분기중 마련하여 상반기중 국회 논의 추진 향후 금융회사 고객정보보호 정상화 T/F 를 통해 동 방안 이행상황을 점검하는 등 차질없는 추진을 독려 ㅇ 금감원은 각 금융회사별 이행상황을 점검하여 T/F에 보고 ㅇ 또한, 추가적 제도개선 제기사항 등에 대한 의견 수렴을 지 속적으로 실시하여 필요시 개선방안 마련 등도 추진 - 26 -
참고 금융회사 고객정보 유출 재발방지대책 추진 일정( 案 ) 법령 규정상 근거 마련이 필요없는 대책은 조속히 준비를 완 료하여 14년 1/4 분기부터 시행하여 효과성을 제고하고 ㅇ 근거 마련이 필요한 과제의 경우에도 14 년 상반기까지 최대한 관련 근거를 보완하여 가능한 범위에서 단계별로 추진 차질없는 과제 이행을 위해 관계부처 합동으로, 금융회사 고객정보보호 정상화 TF ( 금융위 부위원장 주재)를 통해 추진 상황 지속 점검 추진 과제 1. 국민불안감 해소방안 카드 부정사용에 따른 피해액 전액보상 추진기한 `14.2 월 `14.3 월 `14.6 월 14년말 담당 KB NH 롯데카드 ( 금융위 ) 금 번 사 고 관 련 안 정 화 방 안 결제내역 확인문자 (SMS) 서비스 제공 개인정보보호 서비스 제공 본인확인수단 추가 검토 전자금융사기 예방서비스 적용범위 일시확대 스미싱 대응시스템 조기구축 추진 사기 범죄( 보이스피싱 등) 에 이용된 전화번호 차 단 피해유출신고센터 설치 운영 대부업 행태 단속 강화 KB NH 롯데카드 ( 금융위 ) KCB ( 금융위 ) KB NH 롯데카드 ( 금융위 ) 금융위 미래부 ( 금융위 ) 미래부 ( 금융위 ) 금감원 각 카드사 불법사금융 척결T/F ( 총리실 주관, 관계기관 합동) - 27 -
추진 과제 추진기한 `14.2 월 `14.3 월 `14.6 월 14년말 담당 2. 불완전판매 등 부당관행 감독 강화 점포 확대 및 영업시간 대폭 연장 KB NH 롯데카드 콜센터 대기시간 단축 KB NH 롯데카드 인터넷 이용환경 개선 KB NH 롯데카드 카드 재발급 기일 단축 KB NH 롯데카드 3. 철저한 사고원인 점검 및 엄정제재 향 후 재 발 방 지 방 안 카드사 등에 대한 제재 부과 4. 범정부적 정보유출 대응체계 구축 운영 일일상황 대책반 운영 금감원 현장지원 강화 개인정보 불법 수집 유통 집중단속 대국민 홍보 강화 1. 금융사 보유정보의 적정성 확보 정보보유 범위의 적정성검토 1 정 보 보 유 현황 점검 2 이 행 실 태 점검 정보보유기간 합리적 축소 거래종료 고 객 의 정보보호 강화 1방화벽 등 마련 2신용정보법 개정 금융위 금감원 금융위 금감원 카드사 ( 관계부처 협조) 금감원 불법사금융 척결T/F ( 총리실 주관, 관계기관 합동) 금융위 금감원 금융권 협회 카드사 각 금융사 금융위 금감원 금융위 금융위 금융위 - 28 -
추진 과제 계열사간 정보공유 제도 개선 1금융지주그룹 정보공유제도 개선 2분사에 따른 기존정보의 활용 점검 2. 정보관리 및 정보유통과정 개선 개인신용정보보호 책임자의 권한 및 책임강화 내부통제 제도 개선 및외주업체 관리 강화 1정보보호 내부 통 제 제 도 실효성 강화 2IT 외주업체 관리강화 고객정보의 제3자 제공 유통과정 개선 불법유통 정보에 대한 수요차단 추진기한 `14.2 월 `14.3 월 `14.6 월 14년말 담당 금융위 금감원 금융지주사 금융위 금감원 금융위 금융위 금감원 금융위 금감원 금감원 각 업권협회 금융위 3. 사후제재 배상책임 강화 징벌적 과징금 제도 등 도입 개인정보 유출 등에 대한 형벌 수준 대폭 강화 금융사 등 관리책임 확보를 위한 제재수준 강화 금융위 금융위 금융위 금감원 - 29 -