개인정보 대량유출 관련 실태조사 및 재발방지를 위한 국정조사결과보고서 2014. 8. 국 회 정 무 위 원 회
목 차 Ⅰ.국정조사위원회의 구성 1 1.구성경위 1 2.구성현황 3 가.위원명단 3 나.직원명단 4 Ⅱ.국정조사위원회 활동개황 5 1.조사목적 5 2.조사기간 5 3.조사범위 6 4.조사대상 6 가.서류제출요구기관 6 나.보고요구기관 7 다.현장검증실시기관 7 - i -
라.증인 및 참고인 8 5.조사일정 10 Ⅲ.국정조사 실시내용 11 1.현장검증 11 가.KB국민카드 11 나.NH농협카드 14 다.롯데카드 16 라.KCB 18 2.기관보고 20 가.금융위원회 20 나.금융감독원 30 다.국무조정실 35 라.법무부 38 마.안전행정부 42 바.개인정보보호위원회 48 - ii -
3.청문회 50 가.기획재정부 50 나.금융위원회 53 다.금융감독원 62 라.일반증인 66 마.참고인 78 Ⅳ.시정 및 처리요구 사항 81 1.국무조정실 81 2.기획재정부 82 3.금융위원회 83 4.금융감독원 91 5.법무부 94 6.안전행정부 96 7.개인정보보호위원회 98 Ⅴ.종합의견 99 첨부자료 :국정조사 관련 자료요구 및 제출현황 - iii -
개인정보 대량유출 관련 실태조사 및 재발방지를 위한 국정조사결과보고서 2014. 8. 국회정무위원회 헌법 제61조,국회법 제127조,국정감사 및 조사에 관한 법률 및 국회에서의 증언 감정 등에 관한 법률에 의하여 국회 정무위원 회가 실시한 국정조사의 결과를 아래와 같이 보고함. Ⅰ.국정조사위원회의 구성 1.구성경위 가.2014년 2월 3일 최경환 전병헌의원 외 279인으로부터 개인정보 대량유출 관련 실태조사 및 재발방지를 위한 국정조사 요구서 가 헌법 제61조,국회법 제127조 및 국정감사 및 조사에 관한 법률 제3조에 의하여 제출됨. 나.2014년 2월 3일 의장은 원내대표 간의 합의를 바탕으로 개인정보 대량유출 관련 실태조사 및 재발방지를 위한 - 1 -
국정조사를 정무위원회에 배정함. 다.2014년 2월 4일 제322회 국회(임시회)정무위원회는 전 체회의를 개최하여 국정조사계획서를 채택함. 라.2014년 2월 5일 제322회 국회(임시회)제3차 본회의는 정무위원회가 제출한 국정조사계획서에 대한 보고를 받 고,원안대로 승인함. - 2 -
2.구성현황 가.위원명단 :24인 구 분 교 섭 단 체 위 원 명 비 고 위원장 새누리당 김 정 훈 조사위원 박 민 식 간사 새누리당 강 석 훈 (12인) 김 용 태 김 재 경 김 종 훈 박 대 동 성 완 종 송 광 호 신 동 우 안 덕 수 유 일 호 조 원 진 김 영 주 간사 민주당 강 기 정 (10인) 김 기 식 김 기 준 김 영 환 민 병 두 이 상 직 이 종 걸 이 학 영 정 호 준 비교섭단체 송 호 창 무소속 계 24인 - 3 -
나.직원명단 소 속 직위(직급) 성 명 비고 정무위원회 입법조사처 예산정책처 법제실 의회경호담당관실 수석전문위원(차관보급) 전문위원(이사관) 전문위원(이사관) 입법조사관(부이사관) 입법조사관(서기관) 입법조사관(서기관) 입법조사관(서기관) 입법조사관(서기관) 입법조사관(행정사무관) 입법조사관(행정사무관) 입법조사관(행정사무관) 입법조사관(행정사무관) 입법조사관보(행정주사) 입법조사관보(행정주사보) 주무관(사무주사보) 주무관(사무주사보) 주무관(사무서기) 주무관(사무서기) 입법조사관(행정사무관) 경제분석관(행정사무관) 법제관(행정사무관) 주무관(경위주사) 주무관(경위주사보) 진 정 구 임 익 상 박 창 현 오 창 석 김 병 주 서 기 영 김 승 묵 김 대 은 김 용 성 김 재 환 임 병 화 홍 선 기 최 형 수 류 지 호 이 진 옥 양 창 성 장 윤 명 홍 선 숙 최 지 현 문 은 진 김 혜 리 김 경 민 백 운 기 - 4 -
Ⅱ.국정조사위원회 활동개황 1.조사목적 검찰은 지난 1월 8일 KB 농협 롯데 등 3개 카드사의 개인정보 약 1억건이 외부파견직원(신용정보조회회사 KCB 소속)을 통해 외부에 유출됐음을 발표했음.검찰은 불법수집자 및 최초 유포자 가 검거됐고 수사결과 고객정보의 추가적인 유통이 확인되지 않 았다고 밝혔으며 이를 근거로 금융당국은 유출된 개인정보가 전 량 회수돼 시중에 유통되지 않았으므로 2차 피해 가능성이 없다 고 발표함. 그러나 유출된 개인정보를 이용한 2차 피해 및 각종 범죄에 이 용될 가능성에 대한 국민의 우려가 증폭되고 금융시스템 전반에 대한 불신으로 번지는 상황임. 이에 신용정보 등 개인정보의 대량 유출경위,금융회사 등의 개 인정보 보호 관리 실태 및 금융당국의 개인정보 보호 정책 및 감 독과정 등에 대한 국정조사를 통하여 재발방지대책과 개인정보 유출에 따른 금융소비자 피해 구제 방안을 마련하고자 함. 2.조사기간 2014. 2. 5 ~ 2014. 2. 28(24일간) - 5 -
3.조사범위 o 신용카드사를 포함한 금융기관의 개인정보 수집 유통 관리 실태 o 금융감독 당국의 개인정보 보호 관련 정책 및 관리 감독의 적절성 문제 및 관계부처간의 협조체계의 문제 o 유출된 개인정보에 의한 2차피해 발생 유무 및 개인정보의 유통에 따른 피해 o 기타 개인정보 유출로 인한 신용카드사와 정부의 피해자 구제 대책 및 재발방지대책 마련 등을 위하여 필요한 사항 4.조사대상 가.서류제출요구기관(15개 기관) o 국무조정실 o 금융위원회 o 금융감독원 o 기획재정부 o 미래창조과학부 o 법무부 o 안전행정부 o 대통령비서실 - 6 -
o 공정거래위원회 o 방송통신위원회 o 개인정보보호위원회 o 개인정보분쟁조정위원회 o 경찰청 o 서울특별시 o 한국인터넷진흥원 나.보고요구기관(6개 기관) o 국무조정실 o 금융위원회 o 금융감독원 o 법무부 o 안전행정부 o 개인정보보호위원회 다.현장검증실시기관(4개 기관) o KB국민카드 o NH농협카드 o 롯데카드 o KCB(코리아크레딧뷰로) - 7 -
라.증인 및 참고인 1)기관증인 :15명 연번 기 관 명 직 위 성 명 출석일시 출석장소 1 기획재정부 장 관 현오석 국정조사일 국정조사장 2 위 원 장 신제윤 3 부 위 원 장 정찬우 4 사 무 처 장 고승범 5 금융위원회 기 획 조 정 관 정완규 6 금 융 정 책 국 장 김용범 7 금 융 서 비 스 국 장 이병래 8 중소서민금융정책관 이해선 9 원 장 최수현 10 부 원 장 조영제 11 부 원 장 보 권인원 12 금융감독원 부 원 장 보 김영린 13 부 원 장 보 이기연 14 부 원 장 보 박세춘 15 부 원 장 보 오순명 2)일반증인 :16명 연번 성 명 직 업 신문요지 1 임영록 KB국민금융지주 회장 자회사내 개인정보 공유실태 파악 등 2 김덕수 KB국민카드 사장직무 대 행 개인정보 유출 실태 파악 - 8 -
3 이광일 K B 국 민 카 드 C I O 개인정보 유출 실태 파악 4 임종룡 농 협 금 융 지 주 회 장 자회사내 개인정보 공유실태 파악 등 5 이신형 N H 농 협 카 드 사 장 개인정보 유출 실태 파악 6 김영배 전 NH농협카드 CISO 개인정보 유출 실태 파악 7 박상훈 롯 데 카 드 사 장 개인정보 유출 실태 파악 8 박철호 롯데카드 CIO, CISO 개인정보 유출 실태 파악 9 김상득 K C B 사 장 개인정보 유출 실태 파악 10 박시우 전 K C B 직 원 개인정보 유출 실태 파악 11 박경범 K C B 실 장 개인정보 유출 실태 파악 12 남승관 K C B 차 장 개인정보 유출 실태 파악 13 조민재 광 고 대 행 업 체 대 표 개인정보 유출 실태 파악 14 김광수 나 이 스 홀 딩 스 회 장 개인신용정보 관리 현황 15 박병원 은 행 연 합 회 장 개인정보집중기관으로서의 관리 현황 등 16 김근수 여 신 금 융 협 회 장 개인정보집중기관으로서의 관리 현황 등 3)참고인 :5명 연번 성 명 직 업 신문요지 1 문송천 카이스트 경영대학 교수 개인정보 유출사고의 문제점 2 임종인 고려대 정보보호대학원 원 장 3 최용성 K C B 과 장 4 송영미 K C B 대 리 개인정보 유출 실태 파악 정보유출 당사자인 박차장과 함께 작업한 현황 정보유출 당사자인 박차장과 함께 작업한 현황 5 이은우 법무법인 지향 변호사 개인정보 제도 개선 등 - 9 -
5.조사일정 날 짜 시 간 안 건 비 고 2.4.(화) 전체회의(1차) 2.5.(수) 전체회의(2차) 11:15 o국정조사계획서 채택의 건 o현장검증 실시의 건 14:00 o국정조사실시계획서 채택의 건 o서류제출 요구의 건 국정조사장 국정조사장 o현장검증 KB국민카드 2.7.(금) 국정조사 09:00 -KB국민카드 -NH농협카드 -롯데카드 NH농협카드 롯데카드 KCB(코리아크 -KCB(코리아크레딧뷰로) 레딧뷰로) 2.11.(화) 전체회의(3차) 09:30 o청문회 증인 참고인 출석요구의 건 국정조사장 o기관보고 2.13.(목) 국정조사 10:00 -국무조정실 -금융위원회,금융감독원 -법무부,안전행정부 국정조사장 -개인정보보호위원회 2.18.(화) 국정조사 10:00 o청문회 국정조사장 2.25.(화) 전체회의(4차) 14:00 o국정조사 결과보고서 채택의 건 국정조사장 - 10 -
Ⅲ.국정조사 실시내용 1.현장검증 가.KB국민카드 (1)KB국민카드의 진행경과 보고 okb국민카드의 업무위탁을 받은 KCB(코리아크레딧뷰로 ) 신용평가회사의 개발담당 총괄 책임자가 카드사고 예방을 위한 부정사용 방지 시스템(FDS) 1) 컨설팅 과정에서 성명, 주소,연락처 등 최대 20개 항목 약 5,380만건의 고객정보를 불법으로 절취하였음. okb국민카드는 2014.1.6.사건의 발생을 인지한 후 임원진, 실무자로 구성된 TFT 및 대응반을 구성하여 전체적인 상황 발생에 적극적으로 대응하고 있음. o이를 위해 CloudPC 2) 적용,위탁업체 현장 실태 점검,사용 자 인터넷 망 분리 적용 등 지속적으로 기술적,물리적,관 리적 보안 강화 활동을 추진하면서 추가 유출 가능성을 차 단하고 있음. o현재까지는 고객정보 유출 관련 피해사례 접수 건은 없으나, 2차 피해 최소화를 위해 개별고객에 대한 안내 및 피해 발 1)특정 가맹점에서 이상유형 거래가 발생할 경우,즉시 회원에게 전화 또는 SMS로 거래의 진위여부 를 확인할 수 있는 시스템 2)전산센터 內 서버시스템에 가상PC가 만들어져 물리적 망분리 효과를 통해 정보유출이 원천적으로 차단된 환경 - 11 -
생 접수 처리에 신속하게 대응할 예정이며,정보 유출에 따 른 고객의 금전적 피해에 대해서는 100% 전액 보상할 것임. okb국민카드는 유출정보 확인에 따른 대고객 상담 및 민원 증가에 효과적으로 대응하기 위해 초기 24시간 근무체제 전 환 및 은행 개점시간 연장 등 신속한 조치를 시행하였음. o향후 본체 없는 Cloud전용 PC 환경 구축 및 직원 및 수탁 업체 PC의 고객정보에 대한 실시간 모니터링 시스템을 구축 하는 등 금융권 최고수준의 정보보호 관리체계를 구축하고, 출입통제 강화,전직원 대상 정보보호 교육 강화,외주업체 및 외주인력 관리를 강화할 예정임. (2)KB국민카드에 대한 현장검증 실시내용 okb국민카드는 같은 계열회사 간에 정보를 공유하고 있음에 도 불구하고 허술하게 관리하는 문제점 o고객의 개인정보를 별다른 근거가 없이 10년 간 보관하고 있었으므로 이를 개선할 필요 o거래가 종료된지 상당한 시간이 흘렀음에도 고객의 개인정 보를 보유하고 있었는바,관련 규정에 맞추어 거래가 종료된 고객의 개인정보를 삭제할 필요 okb국민카드는 카드번호와 유효기간,CVC값과 비밀번호가 유출되지 않았으므로 고객이 안심할 수 있다는 점을 적극적 으로 홍보할 필요 - 12 -
okb국민카드 고객의 정보가 계열회사 간 내부적으로 고객의 동의 없이 함부로 활용되는지 여부를 철저히 조사할 필요 okb국민카드의 고객 개인정보 유출은 기본적인 보안규정들 이 지켜지지 않았기 때문이므로 향후 정보보안을 위해 이를 철저히 준수할 필요 o해킹에 의한 개인정보 유출에 대비하기 위하여 DB 암호화 필요 o개인정보 유출에 따른 고객의 피해 여부를 판단할 수 있는 기준을 마련할 필요 o고객정보 유출에 따른 피해를 방지하기 위하여 자발적으로 카드를 재발급하는 등 선제적 대처를 할 필요 - 13 -
나.NH농협카드 (1)NH농협카드의 진행경과 보고 onh농협카드의 업무위탁을 받은 KCB(코리아크레딧뷰로 ) 신용평가회사의 개발담당 총괄 책임자가 카드사고 예방을 위한 부정사용 방지 시스템(FDS) 개발과정에서 성명,주소, 연락처 등 최대 16개 항목 약 2,668만건의 고객정보(비밀번 호,CVC는 미유출)를 불법으로 절취하였음. onh농협카드는 사건 인지 이후 개인정보유출 조회 사이트 개설 및 피해신고센터를 24시간 운영하고,고객 불편을 최소 화하기 위한 영업점 비상근무를 실시 3) 하며,신용카드 재발급 수요 대응을 위한 발급센터의 1일 발급량을 확대하는 등 고 객 피해를 최소화하기 위하여 노력하고 있음. o향후 정보유출의 재발방지를 위하여 임원급이 담당하는 정 보보안본부를 독립 신설하고,외부 용역의 관리를 강화하며, 고객정보 관련 임직원의 보안의식을 제고하고,Cloud PC를 적용하는 등 정보유출을 원천적으로 차단하기 위하여 고객 정보의 보관 관리를 강화할 예정임. o또한,신속하게 카드를 재발급하고,사회공헌 활동을 확대하 며,특별예산을 배정하여 고객 사은행사를 실시하는 등 고객 의 신뢰를 회복하기 위하여 노력할 것임. 3) 全 영업점 영업시간 18시까지 연장(1.21.화~2.04.화),주말 및 설 연휴 비상영업 실시,주말영업 :출 장소 제외 전 영업점(1.25.토~1.26.일),설연휴영업 :전국 34개소(1.30.목~2.2.일) - 14 -
(2)NH농협카드에 대한 현장검증 실시내용 onh농협카드와 고객이 최초에 계약할 때 고객의 정보가 제 공되는 제휴업체의 범위를 명확히 할 필요 onh농협카드의 모든 계열회사가 고객의 정보를 통합해서 활 용하고 있는데 계열회사 간 하나의 정보가 어떻게 활용되고 있는지를 명확하게 조사할 필요 o거래가 종료된지 오랜 기간이 지난 고객의 정보는 관련 법 규에 따라 명확히 정리(삭제)할 필요 onh농협카드의 고객 개인정보 유출은 기본적인 보안규정들 이 지켜지지 않았기 때문이므로 향후 이를 철저히 준수할 필요 onh농협카드를 신청하지 않았음에도 개인정보가 유출된 고 객이 있는지 여부를 조사할 필요 o정보유출 사태와 관련하여 금융당국과 함께 정보보안에 대 한 종합적인 점검을 하여 미비점 등을 보완할 필요 onh농협카드에서 유출된 정보를 활용하여 제3자가 대출을 하였는지 여부 등 고객 피해가 발생하였는지를 조사할 필요 o고객의 정보가 시중에 광범위하게 유통되었다는 가정 하에 고객의 피해가 발생하지 않도록 대책을 강구할 필요 o거래 고객의 정보는 DB 암호화 등 조치 필요 o보안규정을 제대로 지키지 않고 변환하지 않은 데이터를 피 의자에게 준 NH농협카드의 직원에 대한 책임 추궁이 필요 - 15 -
o고객정보유출에 대한 사실관계를 정확히 파악하여 잘못이 있는 직원에 대해 책임 소재를 명확히 할 필요 다.롯데카드 (1)롯데카드의 진행경과 보고 o2013년 12월 롯데카드의 부정사용방지시스템을 개선하는 과 정에서 개발을 맡았던 신용정보회사 KCB의 개발 책임자가 성명,주민등록번호,카드번호 및 유효기간 등 2,600만건의 고객정보를 불법으로 수집하여 개인적으로 보관하다가 검찰 에 적발 검거됨. o롯데카드는 결제내역 확인문자 서비스(SMS)를 무료로 제공 하고,정보유출 고객에게 통지문을 발송하며,24시간 유출피 해 신고센터를 운영하는 등 고객의 불안감을 해소하기 위하 여 노력하고 있음. o이와 더불어 카드업무의 처리점포 확대 및 영업시간을 연장 하고,콜센터 직원 확충 4) 및 24시간 운영체제를 확립하며, 카드발급장비를 추가 투입함과 동시에 24시간 발급체제로 운영하고 있음. o향후 3 社 공동 대국민 사과 광고를 게재하고,탈회회원 포인 트를 일괄 지급하며,고객에게 실질적인 혜택이 제공될 수 있는 프로그램을 준비 중에 있음. 4)콜센터 직원:774명 1,540명 - 16 -
(2)롯데카드에 대한 현장검증 실시내용 o롯데카드의 고객 개인정보 유출은 기본적인 보안규정들이 지켜지지 않았기 때문이므로 향후 이를 철저히 준수할 필요 o고객정보 유출에 따른 피해를 방지하기 위하여 자발적으로 카드를 재발급하는 등 선제적 대처를 할 필요 o고객정보의 유출과 관련하여 고객에게 피해가 발생하는 경 우 그 피해를 배상하기 위한 적극적인 대처와 피해 배상을 위한 기준을 마련할 필요 - 17 -
라.KCB(코리아크레딧뷰로) (1)KCB의 진행경과 보고 okcb는 2012년부터 부정사용방지시스템(FDS)컨설팅 사업 을 실시하여 삼성카드,농협카드,국민카드,롯데카드,신한카 드와 사업을 수행하고 있음. o문제가 된 피의자는 2012년 상반기 모든 직무에 걸쳐 시행 한 경력직 공개채용을 통해 2012년 5월 1일 채용되었음.피 의자는 외부기관의 인적성 검사에서 적합판정을 받았으며, 카드사 FDS솔루션 개발 경험이 있고,IT 및 보안 전문가로 인정받고 있었음. o현재 KCB는 정보유출의 2차 피해를 방지하기 위해 全 국민 을 대상으로 금융명의보호서비스 5) 를 무상으로 제공하고,금 융명의보호서비스 무료제공 시기(2월 13일)에 맞춰 상담센터 를 확대 운영(상담 인력 25명 50명)할 것임. o향후 컨설팅 위탁회사와의 공동 보안관리체제로 전환하며, 업무 위탁회사로부터 주민등록번호가 포함된 데이터는 수령 을 거부하고,위탁회사와 공동으로 컨설팅 업무 현장에서의 일일보안결산제도를 운영할 예정임. 5)금융회사가 대출 및 카드발급을 위해 KCB에 신용조회를 할 경우 신용조회 사실을 고객에게 통보 하여 본인이 신청한 건임을 확인한 후 금융회사에 신용정보를 제공하는 서비스 - 18 -
(2)KCB에 대한 현장검증 실시내용 okcb는 민감한 DB를 다룬다는 점에서 통상적인 기업들보다 더 윤리 부분이 중요하기 때문에 인적성 검사를 보다 철저 히 할 필요 o개인정보의 유출과 관련하여 책임소재를 명확히 하여 잘못 된 부분에 대해서는 책임질 필요 okcb는 국민의 모든 경제적인 정보를 집중관리하고 있으므 로 직원을 채용하고 관리하는 점에 있어서 특별히 주의를 기울일 필요 ocio와 CSIO의 업무는 갈등과 긴장의 관계에 있으며 신용정 보평가사에서 같이 겸임한다는 것은 문제가 있으므로 이를 개선할 필요 o소비자 피해구제를 위한 방안을 검토할 필요 - 19 -
2.기관보고 가.금융위원회 (1)개인정보 유출 사건 관련 보고 o검찰(창원지검)은 3개 카드사의 개인정보 약 1억건이 외부 파견직원(신용정보조회회사 KCB 소속)을 통해 유출되었음 을 발표하였음. o검찰에 따르면 불법수집자 및 최초유포자는 검거되었고 현 재까지 수사결과 고객정보의 추가적인 유통은 확인되지 않 았음. o금융감독원이 검찰로부터 원본자료를 넘겨받아 확인 및 분 석한 결과 개인정보 유출 건수는 3개 카드사 합계 약 8,500 만건 수준(사망자,기업,가맹점 등은 제외,카드사간 중복 포함)이며 3개 카드사의 신용카드와 체크카드 고객뿐만 아니 라 은행의 고객 정보,탈회한 고객 정보 등도 다수 포함되어 있었음. o유출 정보로는 성명 주민등록번호 주소 휴대전화번호 직장명 등 개인정보와 결제계좌,연소득 등 신용정보도 포함되어 있 으나,비밀번호와 CVC(본인인증코드)는 유출되지 않았음. o검찰의 수사내용을 발표 전 통보받고,수사결과 발표 당일 금융위원회와 금융감독원은 공동으로 해당 카드사에 대한 즉시 검사,전 금융회사의 개인정보처리 실태점검,정보유출 - 20 -
감시센터 운영 등 피해확산 차단,재발방지대책 수립 등 대 응방안을 발표하였음. o금융위원회 안전행정부 방송통신위원회 등 유관기관 합동으 로 재발방지 근본대책 마련을 위한 금융회사 개인정보보호 정상화 TF 를 가동하고 있으며,고객에게도 유출 사실을 신 속하게 통지하고 추가피해 방지에 노력하고 있음. o개인정보 유출 사고에 적극적으로 대처하기 위해 관계부처 합동으로 재발방지 대책 6) 과 정보 불법유통 차단조치 7) 를 마 련하여 시행함. o사고 수습 및 안정화를 위하여 유출된 정보가 시중에 유통 되지는 않아서 이에 따른 피해 가능성은 없음을 국민들에게 적극적으로 홍보하고,국민 불안감을 악용한 금융사기 시도 가 증가할 수 있으므로,전자금융사기 예방서비스 적용범위 를 일시적으로 확대하는 등 예방조치를 시행함. o국민들의 불편을 최소화하기 위해 비상근무 체제 도입,카드 재발급 점포와 콜센터 인력을 대폭 확충하는 등 카드사에서 6)1 금융회사는 필요최소한의 정보만 보유토록 하여,만일의 정보유출시에 발생할 수 있는 피해를 최소화 2 금융회사 정보수집 보관방식을 소비자 관점에서 개선 3 불법정보 유통에 대한 수요 차단 4 정보보호 관련 금융회사 및 임원의 책임을 확대 5 정보유출관련 행정제재,형벌 등 사후제재를 대폭 강화하고 징벌적 과징금제도 도입 추진 7)l 불법정보 유통 및 이용 차단 -불법정보 유통 및 활용에 대한 집중 합동단속을 무기한 실시 -금감원 금융기관 합동으로 개인정보보호 실태를 전면 점검 -범죄 이용가능성이 높은 전화번호 제한 및 단속 강화 - 全 금융업권을 통한 불법 개인정보유통 혐의거래 통보 요청 2 불법정보 활용가능성이 있는 금융거래를 원천 차단 -전화,SMS,이메일 등을 통한 대출 권유 모집 제한 요청 - 非 대면방식 대출 승인시 대출모집경로 확인 의무화 - 21 -
동원 가능 모든 자원을 최대한 속도감 있게 투입하도록 함. o사고 원인에 대해서는 책임 소재를 철저히 규명하여 임 직 원에 대하여 강력히 제재 조치를 하고,3개 카드사에 대해서 는 여신전문금융업법 등 관련 법령 위반에 따른 행정제재 절차를 진행 중이며,법상 최고한도인 3개월 영업정지를 부 과할 예정임. o개인정보의 불법유통 차단 조치를 위하여 全 금융회사(총 3,050개)의 개인정보보호 실태에 대해 금융감독원 금융회사 합동으로 전수조사를 실시하고,검찰 경찰 등 수사기관과 협업하여 불법적인 정보유통 등에 대해 무기한 합동단속을 실시하며,불법적인 정보유통 등으로 발생한 피해에 대한 신 고를 접수하는 신고센터를 구축 운영함. o불법정보를 활용할 가능성이 있는 금융거래를 차단하기 위 하여 무차별적 非 대면 방식의 권유 모집행위의 중단을 요 청하고,대출모집인 등을 통한 대출 시 불법정보를 활용하였 는지 여부의 확인을 의무화함. o개인정보 유출 사건의 재발방지를 위하여 현재 업권별 상 품별로 30 50여개인 수집정보항목을 필수항목(6 10개)과 선택항목으로 구분하여 최소화하고,정보유형별로 체계적인 보관을 의무화하며,거래종료고객이 정보보호를 요청하는 경 우 정보의 내용에 따라 삭제하거나 적정한 보안 조치를 취 하도록 함. o금융지주그룹 내 계열사간 제공된 고객정보의 외부영업 이 - 22 -
용을 제한하고,내부통제를 강화하며 고객 동의 없이 계열사 보유 정보를 금융상품 판매 등 외부영업에 이용하는 것은 원칙적으로 금지함. o고객에게 연락 시에는 정보출처 및 고객의 이의제기 가능사 실을 먼저 고지하는 등 정보 이용내역에 대한 고지의무를 대폭 강화하고,고객 정보의 이용기간 도과 시 이를 영구삭 제하며,삭제여부를 신용정보 관리 보호인이 확인하도록 함. o신용정보 관리 보호인과 정보보호최고책임자(CISO)등 정 보보호 관련 임직원의 책임을 강화하며,정보보호최고책임자 (CISO)의 타 IT 관련 직위와의 겸직을 제한하여 독립성 및 책임성을 한층 강화함. o개인정보를 유출 활용한 금융회사에 대해서는 사회적 파장 등을 감안하여 대폭 상향된 징벌적 과징금을 신설하고,신용 정보법,전자금융거래법 등 정보유출 관련 형벌수준을 금융 관련법 최고 수준으로 크게 상향하는 등 직원에 대한 제재, 영업정지 등 기관제재 등도 보다 엄격히 이루어지도록 개선 할 것임. (2)실시 내용 o개인정보 보호 기구 관련 -금융위원회는 안전행정부 소관의 개인정보를 제대로 감시 감독할 수 없으며,안전행정부는 금융위원회 소관의 신용정 - 23 -
보를 제대로 감시 감독할 수 없어 관리의 사각지대가 존재 하는 문제점 o개인정보 보존기간 관련 -개인정보의 보존기간에 대해 여러 법에서 서로 다르게 규정 하고 있으므로,개인정보의 보존기간을 일관성 있게 정비할 필요성 -금융분야의 개인정보보호 가이드라인은 분쟁대응,금융소비 자 보호 등을 위하여 필요한 경우에만 정보를 보존할 수 있 다고 되어 있음에도 불구하고 그동안 금융회사가 개인정보 를 영구히 보존한 문제점 -카드사가 보유한 개인정보의 법령상 보관기간 경과 후에도 카드사가 이를 파기하지 않았음을 지적 oit보안 관련 - 금융기관의업무위탁에관한규정 에 IT보안업무는 금융업무의 본질적 부분이 아닌 것으로 되어 있어 대부분 금융회사가 IT보안업무를 아웃소싱하고 있으나,IT보안업무는 아웃소싱 대상에서 제외할 필요가 있으며 설령 아웃소싱을 허용하더 라도 수탁회사의 책임을 획기적으로 높일 필요성 -전자금융업 감독규정상 정보기술예산 중 7%는 정보보호에 사용하여야 하나 금융회사가 이를 제대로 이행하지 못하고 있으므로 이에 대한 점검의 필요성 -정보보안 전문가가 누구인지를 파악하는 것도 어려울 정도 로 정보보안 전문가에 대한 관리가 부재하다는 문제 - 24 -
o개인정보 관리 및 감독 미흡 관련 -개인정보의 암호화가 필요함에도 은행,카드사는 암호화를 제대로 하지 않고 있는 실정이고,증권사의 경우 고객정보 의 3분의1 정도,보험사의 겨우 고객정보의 2분의1 정도만 암호화하고 있는 실정인바,금융회사 전체에 개인정보 암호 화를 완료하도록 할 필요성 -이번 개인정보 유출사태는 법제도의 미비 때문이 아니라, 금융사의 규정 미준수,금융당국의 감독 미비에 기인한 것 이므로 향후 체계적인 감독방안 마련의 필요성 -금융당국의 개인정보 보호 중요성에 대한 인식 부족 지적 -2011년 현대캐피탈 고객정보유출사고와 농협 전산망 마비 사태 이후 금융회사 IT보안강화 종합대책 을 마련하였으나 실태점검은 즉시 이뤄지지 않았고,지난해 4 5월에 실태점 검이 이루어질 때에도 작년에 발생한 정보유출사항은 발견 하지 못하는 등 금융당국이 제대로 관리감독하지 못한 책임 이 있다는 지적 o2차 유출 관련 -금융당국에서는 이번 사태로 인한 정보의 2차 유출은 없다 고 하였으나,언론사 등에서는 유출된 정보가 암시장에서 거래되고 있다는 기사가 보도되고 있고,3개 카드사 외 7개 카드회사의 정보도 이미 유통되고 있다는 기사가 발표되는 등 혼란이 있으므로 2차 유출에 대한 사실관계를 명확히 파 악할 필요성 - 25 -
o금융당국 책임 관련 -개인정보 유출 사태에 대하여 금융당국에서 책임을 질 필요 가 있으므로 금융당국 수장들의 인사교체 필요성 o신용정보회사(cb사)개인정보 관리 관련 -KCB에서 은행연합회로부터 받은 정보를 가공해서 판매하는 알지오 라는 서비스를 제공하고 있는 것은 신용정보법을 위반 하는 것임에도 불구하고 금융당국이 이를 방치하고 있는 문제 를 지적 -신용정보법에 따르면 개인식별정보는 제공목적 외에는 활용 하지 못하도록 하고 있음에도 불구하고 민간 영리회사인 신 용정보회사와 은행연합회가 이를 위반하여 정보유통을 하고 있는 문제 -신용정보법에 근거하여 2004년도에 신용정보회사는 특별한 사유가 없는 한 본인 동의가 없어도 공공기관에 납세정보를 제공해야 한다고 개정하였는데 2009년도에 금융위원회가 법 을 개정하여 신용정보회사가 영리행위 업무를 겸업하도록 하면서 여전히 공공기관에 납세정보를 제공하도록 하는 것 의 문제 o금융지주회사 정보공유 관련 -금융지주회사 및 계열사 간 무차별적인 정보공유로 인해 특 정 기관의 정보 유출 시 관련 기관 정보가 함께 유출되는 문제가 있으므로 이를 방지하기 위한 대안을 강구할 필요 -금융지주회사에서 운영하고 있는 정보공유와 관련한 매트릭 - 26 -
스 조직이 자회사 간 정보를 불법적으로 공유할 가능성이 있고,애초 금융지주회사 설립 취지와도 배치되는 측면이 있으므로 개선 필요성 -특례조항에 따라 금융지주회사 및 계열사들(자회사등)은 정 보를 공유하고 있으나,카드번호까지 공유된 것은 과도하며 정보공유에 대한 관리가 거의 이루어지지 않은 문제점 o금융회사의 개인정보 활용 관련 -고객정보를 무분별하게 활용하는 금융회사의 관행적인 영업 행태를 개선할 필요성 o포괄적 개인정보제공동의 요구 관행 관련 -금융회사가 고객에게 과도하게 정보를 요구하고,이를 따르 지 않는 경우 서비스를 제공하지 않은 문제가 있는바,이에 대한 개선조치 마련 필요성 o여타 개인정보 유출사고 관련 -현행법상 금융회사 또는 통신회사가 정보유출 피해자에게 직접 정보유출 사실을 통보하도록 하고 있는데 카드 3사 이 전에 발생한 17개 금융회사 정보유출사고의 피해자 735,000 여명은 아직도 정보유출 사실을 통보받지 못하고 있으므로 이에 대한 점검이 필요 o대출모집인 관련 -대출모집자에 대한 관리를 강화하기 위하여 대출모집을 위 탁하는 기관에서 수탁기관의 업무 수행 시 불법이 있었는지 를 확인하는 절차를 거치고 이를 확인하지 않는다면 처벌하 - 27 -
는 방향으로 법 개정을 할 필요성 -대출모집인의 등록의무화,판매행위 규제의 근거 마련 및 금융회사의 사용자책임 부과를 위한 제도 마련의 필요성 o재발방지대책 관련 -최근 3년간 여러 개인정보 유출사태가 발생하였음에도 이에 대한 대처가 빨리 이뤄지지 않은 문제가 있으므로 이를 반 성할 필요가 있으며 재발방지대책을 마련할 필요성 -주민등록번호와 계좌번호만으로 부당 인출이 가능한 현 시 스템의 종합적인 검토와 함께 그에 대한 개선방안 마련 필 요성 -정보유출 사고가 반복되는 근본적 원인은 금융감독 체계의 문제인데 금융소비자보호원을 금융감독원에서 분리시키더라 도 금융위원회 소관 하에서는 여전히 문제가 발생할 것이므 로 금융산업 진흥의 문제와 위험리스크 관리,안전성 확보 간의 이해상충을 해결하기 위해 금융감독 체계를 일원화하 고,금융소비자보호기구를 독립적으로 설치할 필요성 o피해구제방안 관련 -카드사는 2차 피해에 대한 정신적인 피해의 보상 계획은 없 음을 발표하였는바,입증책임의 전환 등 적극적인 피해 구 제방안을 강구할 필요성 -개인정보가 불법적으로 유통되고 있음에도 개인정보 유출로 인한 피해의 보상기준조차 마련되지 않고 있으므로 개인정 보 유출로 인한 2차 피해를 입증할 기준 마련의 필요성 - 28 -
-카드사의 피해보상에 대해 카드사 약관,거래신청서 등에 기재하여 고객이 명확히 알 수 있도록 할 필요성 -유출된 개인정보가 보이스피싱과 스미싱 등에 이용될 가능 성이 높으므로,보이스피싱과 스미싱 피해자에 대한 손해배 상이 필요 -미국 Target사건과 같이 카드사가 고객에게 카드의 재발급 을 먼저 권고하도록 할 필요성 o개인정보 유출 카드회사 제재 관련 -개인정보가 유출되는 사고가 재발되는 금융회사에 대해서는 강한 제재를 가하여 개인정보관리의 경각심을 높일 필요성 -이번 개인정보 유출에 따라 카드사에 부과하는 영업정지는 제재의 형평상 과하다는 지적 -개인정보 유출 카드사에 대한 영업정지 제재시 고객 불편을 고려할 필요 o징벌적 배상명령제를 도입할 필요성 o카드사 영업정지에 따라 체크카드 발급이 중단되면 예금거 래에 주목적이 있던 은행 거래 고객들이 피해를 보게 되므 로 계획적인 예금거래와 소비를 하고자 은행을 찾은 고객들 에게 그에 필요한 지급결제 수단을 제공하지 않음으로 인해 불편을 초래케 하는 것은 카드사 제재 목적에 부합하지 않 는다는 지적 - 29 -
나.금융감독원 (1)개인정보 유출 사건 관련 보고 o개인정보 유출사건은 용역회사(KCB)직원이 카드 부정사용 방지시스템(FDS) 개선작업 용도로 제공받은 개인정보 실데 이터를 보안프로그램이 설치되지 않은 PC를 통해 USB로 절취하여 발생하였음. o 전자금융감독규정 은 금융회사에 대해 전산프로그램 테스 트시 실데이터의 사용을 금지하고 이를 변환하여 사용토록 규정하였음에도 카드사는 고객의 실제 개인정보를 변환없이 제공하였으며,용역직원이 보조기억매체(USB 등)로 PC에 접근하는 것을 통제(예 :USB 통제프로그램 설치)하도록 규 정하였음에도 이를 미이행한 것이 이번 사태의 원인임. o개인정보 유출사고와 관련하여 금융감독원 내부에 종합대응 단을 설치 운영하고,개인정보의 불법적인 유통 및 활용을 차단하고 금융소비자의 피해를 예방하기 위해 노력 중임. o3개 카드사에 현장지원반을 파견하여 고객의 카드 재발급 등이 원활하게 이루어지도록 적극 지도하고,금융감독원 내 에 비상지원반 을 설치하여 카드사 고객에 대한 카드해지 재발급,영업점 운영,정보유출 통지상황 등을 종합 점검 지 원하고 있음. o금융위원회 안전행정부 미래창조과학부 등과 협업을 통해 개 인정보 유출 재발방지대책 및 불법정보 유통 활용 차단대책 - 30 -
을 마련하는 등 관계기관과의 신속 긴밀한 공조체계를 구축 하여 국민들의 피해가 발생하지 않도록 노력하고 있음. o3개 카드사 콜센터 및 영업점에 비상근무시스템을 구축하도 록 지도하고 있으며, 카드 즉시발급 전담점포 (123개)와 거 점점포 (526개)를 확대 운영하여 고객의 카드 재발급 편의를 제고함. o카드번호 유효기간 정보를 통한 부정사용의 소지를 차단하 기 위하여 카드번호와 유효기간만으로 결제가 가능한 일부 가맹점에 대한 본인확인절차를 강화하고,해외 인터넷가맹점 에서의 카드 부정사용을 막기 위해 부정사용방지시스템 (FDS)운영을 보강하도록 지도함. o개인정보의 불법유통을 차단하기 위하여 개인정보 불법유 통 신고센터 를 설치하여 주말근무 등 비상근무체제로 운영 하며 시민과 합동으로 개인정보 불법유통 감시단 을 발족 하였음. o불법행위에 사용된 전화번호를 신속히 이용정지하기 위하여 신속 이용정지제도 를 도입하고 전 금융권에 번호도용 문 자차단서비스 가입을 적극 유도하고 있음. o금융회사의 정보수집 및 유통 관행을 개선하기 위하여 비대 면방식 대출 승인 시 대출모집경로를 의무적으로 확인하도 록 하며 금융회사가 대출모집인을 활용한 대출 승인 시 불 법정보 활용 여부를 반드시 확인하도록 지도함. o 전자금융사기 예방서비스 의 적용범위를 확대하고 MS신용 - 31 -
카드의 IC카드로의 전환을 신속히 추진하도록 지도하며 개 인정보 수집을 최소화하기 위한 금융상품 가입서식의 개선 을 추진함. o향후 금융시스템의 신뢰를 손상시킨 이번 사고의 근본적 구조적 원인을 철저히 규명하여 책임소재에 따라 법상 허용 가능한 최고한도의 엄중한 제재를 추진하고,고객불편을 최 소화하기 위한 노력도 병행할 것임. o또한,개인정보의 수집 보관 활용 및 폐기 등 정보관리 전 반에 대한 근본적이고 확실한 대책을 마련하여 추진하고 금 융회사의 IT보안 및 개인정보보호체계에 대한 전면적인 재 점검을 통해 각종 제도들이 현장에서 정착되도록 노력할 예 정임. (2)실시 내용 o카드사의 개인정보 관리 미흡 문제 -해지된 카드에 대한 기존 금융회사의 개인정보 유지 및 정 보업데이트 문제를 파악하고,이를 방지할 수 있는 대비책 을 강구할 필요성 o IT보안 위탁 관련 -정보관리와 관련하여 외부인력을 적극적으로 활용하고 있는 실정이나 외부인력이 정보관리를 계속 담당할 경우에는 정 보유출의 가능성이 지속적으로 존재하는 문제점 - 32 -
-기존 금융회사 등의 정보 보안 여부 등에 대한 보안검사, IT 모범규준 점검이 금융회사 시스템 구축 및 제도운영 여 부 등에 대한 점검 위주로 이루어진 문제점 및 보안검사 등 의 실효성을 확보하기 위한 노력 필요성 o 금융당국의 감독 미흡 및 책임 관련 -금융당국의 감독미흡이 카드사 개인정보 유출 사태의 근본 원인이라는 지적 -개인정보의 유출 사건이 연속적으로 발생하고 있는데,금융 당국이 안일하게 대응한 것으로 보인다는 지적 -금융지주회사 계열사 간 정보공유 문제 -KB국민카드가 은행으로부터 분사한 후 은행의 고객정보를 보유하고 있다가 유출된 문제점과 이를 제대로 감독하지 않 은 금융감독원의 감독 미흡의 문제 -하나금융지주는 외환은행의 카드사업 부문을 분사하려고 계 획하고 있으나,고객정보 DB의 분리 관리에는 5 6개월의 시간이 소요됨에도 하나금융지주는 짧은 기간에 예비허가를 받을 것을 계획 중인 바,하나금융지주의 상황을 긴급히 점 검한 후 보고할 필요성 -최소 1년 정도는 고객정보유출 방지를 위한 검토가 필요하 므로 하나금융지주의 외환카드 편입에 대하여 신중한 검토 가 필요함을 촉구 o포괄적 개인정보제공 동의 요구 관행 관련 -포괄적 동의를 통하여 사실상 동의를 강요하는 것은 개인정 - 33 -
보 보호법에 명백히 위반되므로 면밀한 검토를 통해 적절히 제재할 필요성 o금융감독원에서 하는 경영실태평가에 정보보호부문에 대한 지표를 포함하거나,각 금융회사별로 보안등급을 평가해서 공시하는 방안을 강구할 필요성 o여타 개인정보 유출사고 관련 -이번 카드사 개인정보 유출 이외의 금융 관련 개인정보 유 출 건들은 어느 금융회사 등을 통해 유출된 것인지를 조사 할 필요성 - 34 -
다.국무조정실 (1)개인정보 유출 사건 관련 보고 o검찰은 3개 카드사(KB 농협 롯데)의 개인정보가 대량으로 외부에 유출되었음을 발표하였음. o이에 국무총리는 금융위원장에게 사태의 수습 및 책임소재 규명,재발방지대책을 조기에 마련할 것을 지시하였으며 금 융위원회 안전행정부 방송통신위원회 등 유관기관 합동으로 대책 마련을 위한 금융회사 고객정보보호 정상화 TF 를 가 동하고 있음. o국민의 불안을 해소하고 개인정보 보호와 관련한 근본적인 대책을 마련하기 위해 국무총리 주재로 3차례 관계장관회의 를 개최하였음. o이번 개인정보 유출 사태를 계기로 전 부처가 산하기관 및 공기업 등을 대상으로 개인정보 관리 실태를 전면적으로 점 검하고,근본적 개선방안을 마련하기 위해 전 부처가 참여하 는 범정부 TF 를 구성 운영하며,조사인력 확보 등 현실적 문제를 감안하여 공공부문 개인정보보호를 우선적으로 추진 함. o공공부문 범정부 TF는 국무조정실장(팀장)과 각 부처 차관 으로 구성하여 공공부문이 관리하는 개인정보의 수집 보 관 저장 활용 파기 등 全 관리과정 을 철저히 점검함. o전면적 현장실태 점검을 위해 부처별로 실태 점검단 을 - 35 -
구성 운영하고 그 점검결과를 TF에 보고하고,국무2차장 및 부처 실 국장 등으로 구성된 운영TF 는 개인정보보호 실 태점검 관리 및 부처간 의견 등을 조율 조정함. otf는 부처별 점검결과를 바탕으로 협의 조정 과정을 거쳐 법 제도 개선(안)을 마련하고,부처별 실태 점검단 은 소 관 공공기관에 대한 개인정보보호 全 과정을 원점에서 철저 히 점검하고 개선사항을 도출할 것임. (2)실시 내용 o개인정보 보호 기구 관련 -대부분 OECD국가에서 개인정보보호기구는 총괄기구로 되 어 있는데 반해 우리나라는 현실적으로 정보보호 관련 부 처,인력이 분산되어 있고,금융감독원의 감독인력도 부족한 문제점 -개인정보유출사태는 범부처적인 대응이 필요함에도 불구하 고 이를 총괄하여 책임질 컨트롤타워가 부재한 실정이므로, 개인정보 관리를 위한 컨트롤 타워 신설의 필요성 o개인정보 대량 유출과정 관련 -카드사태 관련 KCB 직원이 직접 보안프로그램을 해제하여 정보를 유출한 것으로 공소장에 명시된 바,이는 심각한 보 안취약요소이므로 관련 기관들에 이러한 사실을 제대로 알 려줄 필요성 o개인정보 관리 취약 및 재발방지대책 관련 - 36 -
-정보관리의 취약성에 대하여 시정을 요구해도 제대로 조치 가 안되는 경우가 있으므로,이에 대한 대책을 마련할 필요 -주민등록번호와 계좌번호만으로 부당 인출 8) 등이 가능한 현 금융시스템의 보안미비 문제를 개선할 필요성 -스마트폰 앱을 통한 개인정보 유출 가능성에 대한 대책 마 련 필요 -주민등록번호 외에 개인을 식별할 수 있는 대체번호 를 도 입하는 방안 검토 필요 -개인정보관리 실태 개선 방안 마련 필요 o개인정보 보호는 시장에서 기업이 책임지도록 해야 하므로 징벌적 손해배상제 및 집단소송 등의 제도를 도입하는 방안 검토 필요 8)주민등록번호와 계좌번호,출금동의서만 있으면 소액 자동이체서비스(CMS)가 가능 - 37 -
라.법무부 (1)개인정보 유출 사건 관련 보고 o2013.12.검찰에서 서민생활 침해사범 단속의 일환으로 불 법 대부중개업자에 대한 수사를 진행하던 중 신용카드 회사 로부터 개인정보가 대량으로 불법 유출된 단서를 포착하고 이 사건 수사에 착수하였고, -수사 결과 NH농협카드 KB국민카드 롯데카드 등 3개 신 용카드사에서 파견 근무 중이던 신용정보회사 직원이 약 1 억 500만건의 고객정보를 불법 유출한 사실을 확인하였음. -2013.12.대출모집인 이 조사 과정에서 이 사건 단서 포착 2013.12.23.최초 유출자 박,1차 수령자 조 체포 2013.12.26.박 조 구속 2014.1. 6.금융감독원에 수사 중인 사실 통보 2014.1.8.박 조 구속 기소,이 불구속 기소 2014.1.10. 금융감독원에 이 사건 고객정보 자료 제공 2014.3.12. 제1회 공판기일 진행 예정 o개인정보 불법유통 활용 범죄를 막기 위하여 2014.1.24. 부터 전국 58개 검찰청에 설치된 서민생활침해사범 합동수 사부 를 중심으로 개인정보 불법유통 활용 사범에 대해 유 관기관과 합동으로 무기한 단속에 착수하고,지역별로 유관 기관과 긴밀한 협업체계를 구축,범죄정보 공유 및 합동단속 활동을 강화하고 있음. - 38 -
-이 중 정보관리주체 및 해커 등의 개인정보 유출행위,개인 정보 유통 브로커 등의 불법 거래행위,보험모집인,대출모 집인,무등록 대부업자,채권추심업자 등의 개인정보 불법 활용행위,불법 유통 정보를 활용한 보이스피싱,파밍,스미 싱 등을 중점적인 단속 대상으로 하고 있음. -향후 전국 검찰청 서민생활침해사범 합동수사부 를 중심으 로 집중 단속을 전개하고,주요사건에 대해서는 검찰의 첨 단범죄 수사 역량을 바탕으로 엄정 신속하게 수사 진행하 며,적발된 사범에 대해서는 무관용 원칙 을 적용하여 중형 이 선고되도록 처벌기준을 강화하고,철저한 자금추적 수사 로 개인정보 불법유통으로 얻은 범죄수익 박탈에도 만전을 기할 예정임. (2)실시 내용 o개인정보 대량유출 과정 관련 -카드사태 관련 KCB 직원이 직접 보안프로그램을 해제하여 정보를 유출한 것으로 공소장에 명시된 바,이는 심각한 보 안취약요소이므로 관련 기관들에 이러한 사실을 제대로 통 보할 필요성 o검찰 수사 관련 -KCB 대표 등에 대한 참고인 조사가 전혀 이루어지지 않았 고,범행 방법 등은 금융감독원을 통해 카드 3사에 확인했 - 39 -
다고 하는데 수사를 축소한 것은 아닌지에 대한 지적 -카드사 직원이 내부 보안프로그램을 규정에 맞지 않게 해제 하였는지 여부와 KCB직원이 카드사 내부 보안프로그램을 해제하였는지 여부에 대한 수사 필요성 및 카드사 관련 직 원에 대한 참고인 소환 조사의 필요성 o2차 유출 가능성 수사 관련 -수사상황을 살펴보면 유출된 개인정보의 1차 수령자인 조모 팀장이 대출모집인 이모씨 1명에게만 정보를 판매한 것으로 나오는데,정보를 1명에게만 제공한 것이 상식적으로는 이 해가 가지 않으므로 다른 사람에게 유출된 것은 아닌지에 대한 조사 필요성 -2차유출의 가능성이 적다고 주장하지만 여전히 2차유출의 가능성이 있으므로 2차유출을 가정하고 불법 사용 등에 대 한 철저한 조사를 통하여 국민의 불안감을 해소할 필요성 o여타 개인정보 유출 관련 -이번 카드사 개인정보 유출 이외의 개인의 금융정보 유출 건과 관련하여 어느 금융기관 등을 통해 유출된 것인지 조 사할 필요성 o개인정보유출과 관련하여 집단소송을 통해 피해배상을 요구 할 경우 금융회사가 감당하기에는 부담이 크므로 이와 관련 하여 사전에 보험에 가입하도록 하는 방안의 검토 필요성 o피해구제를 위한 집단소송의 도입을 검토할 필요성 o개인정보보호 위반 제재 관련,전반적으로 처벌이 약한 편이 - 40 -
므로 처벌 제재 수준을 강화할 필요성 o카드사 개인정보 유출사건의 경우 수사단계에서부터 금융당 국과 협력이 미흡한 문제와 대책 o재발방지대책 관련 -개인신용정보 불법 유통에 대한 집중적인 단속 필요 -불법개인정보 활용자에 대한 단속을 통하여 정보유출 경로 파악 필요성 - 41 -
마.안전행정부 (1)개인정보 유출 사건 관련 보고 o3개 카드사의 외부 파견직원(신용정보조회회사 KCB 소속) 이 신용카드 부정사용 방지시스템 구축 작업 시 고객정보 약 8,500만건을 USB에 담아 유출하였음. -이는 시스템 구축을 위해 외부 파견직원에게 고객정보 접근 권한을 부여한 후 관리 감독에 소홀하였기 때문임. o안전행정부는 사고 이후 금융분야 TF 참여,유출 통지 등 피해예방 조치방안 협의,개인정보 불법유통 근절 관계부처 차관회의 및 중앙 지자체 일제 전파,총리실의 범정부 TF 참여,개인정보보호 제도개선 사항을 발굴하는 등 금융 위원회,총리실 등 관계기관과 협의 및 대응하고 있음. o개인정보 수집 제공 보관 파기 등 개인정보관리 전반에 걸 쳐 총 64개 항목에 대해 전 공공기관에 대한 일제점검을 실 시하고 있으며,공공기관 개인정보보호 실무자 전원에게 개 인정보 관리와 관련한 특별교육을 실시하였음. o금융 분야의 경우 최소수집원칙 등 개인정보보호의 일반원 칙을 반영하고,본인 동의 없는 정보의 공유 제공을 제한하 며,개인정보의 파기기간을 설정할 것임. o정보통신 분야의 경우에는 본인의 동의 없이는 개인정보를 마케팅 목적으로 이용하지 못하도록 하고,정보통신망법 적 용대상을 명확화할 예정임. - 42 -
o정보주체의 권리를 강화하기 위해 개인정보 최소수집원칙을 위반하여 과다하게 개인정보를 수집하는 경우에 대하여는 제재를 강화하고,회원탈퇴 및 개인정보 삭제 요구 시 과도 한 요구(방문,주민등록등본 제출 등)를 금지하게 할 것임. o주요 개인정보 수집 시 유통이력(제공 위탁 출처),수집근 거 등을 의무적으로 기록 관리하도록 하여 개인정보 유통 경로를 투명화하고,개인정보처리 수탁자는 개인정보 처리 계획을 수립 제출토록 하며,법정형 부과 시 위탁자와 동일 형량을 부과토록 준용 근거를 마련할 예정임. o이미 실시 중인 교육과정에 1인 사업자 대상의 개인정보보 호 과정을 의무적으로 편성토록 하여 취약업종의 인식을 제 고하고,협회 단체 중심의 자율규제 및 정화활동을 촉진 지 원할 것임. o헌법상 기본권으로 인정되는 자기정보결정권의 침해 행위에 대하여 제재수준상 편차가 발생하고 있으므로 각 개별법 개 정 시 유사 위반행위에 대하여 법규 목적에 상응한 처벌이 부과될 수 있도록 하고 제재수준의 합리성을 제고할 예정임. o공공기관의 개인정보 관리수준에 대한 진단 대상을 13년 289개 14년 711개 기관(전체 공공기관)으로 확대하고,진 단 분야별 중점 개선사항을 마련하여 점검 및 개선 조치를 하며,정보유출 사태에 대한 경각심을 고취하기 위하여 행정 처분의 결과를 공표하고,법위반 및 처분 사례를 전파할 것 임. - 43 -
o주민등록번호의 수집을 원칙적 금지하고,법령 근거 하에서 만 주민등록번호의 수집 이용이 가능하도록 하며,기존의 주 민등록번호는 일괄삭제 및 이름+생년월일 등 조합정보로 전 환하여 주민등록번호 수집의 법정주의를 확립할 예정임. o이미 유출된 주민등록번호 도용을 방지하기 위해 이중 인증 을 의무화하고,조회기능 및 시스템 성능 개선 등 주민등록번 호 클린 서비스를 확대하며,주민등록번호 저장 시 암호화를 의무적으로 적용토록 하는 등 주민등록번호의 관리를 강화할 것임. o휴대폰 인증,공인인증서,I-PIN을 주민등록번호의 대체수단 으로 활용토록 적극 권장하여 주민등록번호의 유통을 최소 화함. o주민등록번호는 실명인증 본인 확인 목적으로 광범위하게 사용되고 있으며,유출된 주민등록번호는 변경이 곤란하고, 연령 등 개인정보를 유추할 수 있음에도 주민등록번호를 갑 자기 변경할 경우에는 사회경제적 혼란과 막대한 비용의 발 생이 예상되므로 주민등록번호의 대체수단 도입과 관련하여 사회적 합의를 도출하기 위해 전담 연구반을 구성하는 등 중장기 과제로 검토할 것임. (2)실시 내용 o개인정보 담당 부처 관련 - 44 -
-금융위원회는 안전행정부 소관의 개인정보를 제대로 감시 감 독할 수 없으며,안전행정부는 금융위원회 소관의 신용정보를 제대로 감시 감독할 수 없어 관리의 사각지대가 발생할 우려 o정부의 감독 미흡 문제 관련 -카드사 정보유출에 대한 정부합동점검 시 카드사 직원이 보 안프로그램을 해제하였는지 여부에 대한 집중점검이 미흡한 문제점 -작년 11월 개인정보합동점검단의 합동점검 대상으로 롯데카 드도 포함되어 있었고,당시 KCB 직원이 외주업무 수행 중 이었으며 외주업무 감독이 합동점검 사항에 포함되어 있는 부분인데도 문제점을 제대로 밝히지 못한 것은 점검이 형식 적이었기 때문임 o개인정보 보존기간 관련 -개인정보보호법에서는 주민등록번호의 수집을 중단하고,기 존에 수집된 것에 대해서는 2년 후에는 파기하도록 하고 있 는 바,파기 여부에 대한 점검 필요 oit보안 관련 -IT인력의 육성이 필요하며,정부에서는 IT관련 사업을 연초 에 빨리 발주할 필요 o2차 유출피해 관련 -유출된 개인정보가 타국으로 유출되어 보이스피싱 등에 악 용될 가능성 o언론사에 의하면 금융정보 외에 의료정보,부동산정보 등도 - 45 -
불법적으로 유통되고 있는 실정인바,이에 대한 실태를 파악 하고 대책을 마련할 필요성 o신용정보회사(cb사)개인정보 관리 관련 -지방세기본법에 개인과세정보 제공 금지 규정이 있음에도 불구하고 개인납세 정보를 민간 영리기업인 NICE가 관리하 고 있는 문제점 - KCB 및 NICE에서 비금융회사에 제공되는 개인정보를 보 면,2013년 기준 3594개 업체에 4320만건이 제공되었는데, 두 기관에서 정보를 제공받은 업체가 제공받은 정보를 재유 출 하는지 여부에 대해 관리,감독하고 있지 않는 문제점 o포괄적 개인정보제공 동의 요구 관행 관련 - 개인정보보호법 제16조에서 선택적 정보수집에 동의하 지 않았다는 이유로 재화나 서비스의 제공을 거절하지 않도 록 규정하고 있음에도 불구하고,온라인 쇼핑몰 등에서 선 택정보에 동의하지 않을 경우 결재가 되지 않는 등 위법한 행위가 이루어지고 있으므로 이에 대한 조치 필요성 o대출모집관련 -대출모집인의 경우 불법정보의 활용도가 가장 높으므로 제 도적으로 이를 금지하거나 금융회사가 내부적으로 이를 흡 수해서 감독할 필요성 o주민등록번호제도 관련 -과도한 정보가 집중된 현재의 주민등록제도는 개인정보가 중요해지는 현대 사회에서 정보유출 시 크나큰 문제가 발생 - 46 -
하므로 현재의 주민등록제도를 근본적으로 개선할 필요성 -개인식별번호로서 주민등록번호를 대체하는 대안을 마련할 필요성 -주민등록번호를 대체할 식별제도로 아이핀제도가 가장 실효 적인 방법으로 보인다는 지적 o해외검색프로그램을 통해 국민의 주민등록번호가 검색되는 문제를 방지하기 위한 방안 강구 필요성 o재발방지대책 관련 -법 전반적으로 처벌수준이 약한 편이므로 처벌 제재 수준을 강화하여 경각심을 높일 필요성 -개인정보유출 문제에 실효성 있는 시정조치 및 근본 대책수 단을 강구할 필요성 -민간 분야의 개인정보보호가 미흡한 문제가 있어 이에 대한 대책 마련 필요성 - 47 -
바.개인정보보호위원회 (1)개인정보 유출 사건 관련 보고 o 금융기관의 개인정보 수집 시 최소 수집 원칙 을 적용하여 과도한 개인정보 수집 관행을 개선하고,필요한 개인정보 수 집에 있어서 자기결정권 을 강화할 예정임. o주요 정보에 대한 암호화 및 접근통제 시스템을 개선하고, 개인정보 보유기간의 적정화 및 불필요한 정보는 즉시 파기 하도록 하는 등 신용정보에 대한 기술적,관리적,물리적 안 전조치를 강화함. o정보유출 등 사고 발생 시 실효성 없는 과징금과 과태료 수 준을 상향조정하고,고객 피해에 대한 보상제도 및 절차를 개선하는 등 책임성의 제고와 정보주체의 권익 보호를 강화 할 것임. o종전에는 (구)공공기관개인정보보호법(1995), 신용정보법 (1995),정보통신망법(2001)등 분야별 개별법을 통해 개인정 보 처리를 규정함.개인정보보호에 관한 일반법인 개인정보 보호법(2011)이 제정 시행된 이후에도 정보통신망법,신용정 보법 등에 개인정보 보호에 관한 규정이 존치하고 있음. -이로 인하여 정보통신망법과 신용정보법 등 개별법을 중심 으로 개인정보보호에 관한 규정이 적용됨으로써 일반법인 개인정보보호법의 지위가 약화되고,상이한 법 규정으로 인 하여 혼란이 발생하며 중복규제의 소지가 있음. - 48 -
o향후 개인정보보호의 기준과 원칙 및 공통적인 사항은 개인 정보보호법으로 일원화하여 일반법 제정취지에 맞게 관계법 령을 정비하고,필요 시에만 개별법에 특례조항으로 분야별 특성을 반영하는 것이 바람직함. (2)실시 내용 o민감한 개인정보를 많이 다루는 VAN사의 정보관리 실태를 점검할 필요 o개인정보보호 관리 체계 관련 -개인정보관리 관련 법규가 중복되고 한편으로,개인정보 관 리의 사각지대가 존재하므로,이에 대한 보완 방안을 검토 할 필요 -개인정보보호위원회의 독립성을 확보할 필요 o포괄적 개인정보제공동의 요구 관행 관련 -선택적 동의사항에 대한 개인정보 제공동의 거부 시 서비스 이용이 불가능한 것의 문제점 o국가기관의 신용정보회사(CB사)에 대한 개인정보 제공관련 -국가기관이 민간회사에 개인정보를 제공하도록 법에서 인정 하는 것은 우리나라가 유일한데,개인의 신용평가와 관계없 이 이들 회사의 영업에 필요한 정보의 제공을 허용하는 것 에 대한 현황을 파악하고,이에 대한 개선방안을 마련할 필 요성 - 49 -
3.청문회 가.기획재정부 o부실 축소 수사의 의혹이 있으므로 법무부장관에게 엄정하 게 수사할 것을 건의할 필요가 있다는 지적과 사실관계를 명확하게 파악해서 엄정한 수사가 필요하다면 그렇게 하겠 다는 답변이 있었음. o보안프로그램인 에스코트(e-Scort)가 무력화 될 수 있다는 사실을 다른 기관들에게 전달하였는지에 대한 질의와 미처 전달하지 못하였다는 답변이 있었음. o이번 카드사 개인정보 유출사태와 관련하여 카드사에 정보 제공을 동의한 고객에게도 일정부분 책임이 있다고 지적해 서 문제가 됐었는데 여전히 국민들에게도 책임이 있다고 생 각하는지에 대한 지적과 본인의 취지와는 다르게 발언되었 다는 점에서 송구스럽다는 답변이 있었음. o정부의 책임 관련 -개인정보가 유출된 카드사의 경우 사장이 교체되는 등 책임 자들이 모두 책임을 지고 있는데 이번 개인정보 유출 사태 책임의 절반은 정부에 있다고 하면서 정부에서는 누구도 책 임을 지지 않는 것은 문제라는 지적이 있었음. -국민들의 신뢰를 회복하기 위해서 정부 책임자들이 각성할 필요가 있으며 개인정보 유출사태에 책임지는 모습이 필요 하다는 지적이 있었음. - 50 -
o이미 1,000만건 이상의 정보가 유출되어 매매되고 있고,해 외에도 유출된 정황이 있는데,정부는 2차 유출이 없다고 하 고 검찰이 금융감독원에 확인을 요청한 은행의 정보유출 건 도 한 달 가까이 계속 파악 중이라고 하는 것은 문제가 있 다는 지적과 관계부처 회의에서 여러 번 문의한 사항이고 현재로서는 유통에 대한 것은 없는 것으로 파악된다는 답변 이 있었음. o개인정보관리의 취약성 관련 -경제혁신 3개년 계획 중 금융업이 포함되어 금융업의 경쟁 력 강화를 위하여 시행하는 정책에 따라 정보 보안에 대해 규제를 완화하는데 현재 상황을 고려할 때 이에 대한 수정 이 필요하다는 지적과 이번 사태가 개인정보의 중요성을 재 인식하는 계기가 되었으므로 고민하겠다는 답변이 있었음. -은행연합회에 개인의 과세정보를 제공하는 것은 부적절한 것이라는 지적과 체납사실에 관한 정보는 개인의 동의를 거 쳐서 신용정보회사로 제공된다는 답변이 있었음. o피해구제 관련 -징벌적 손해배상제도는 전문가 의견조사 결과 찬성비율이 53%이고,하도급법에 이미 규정된 사례가 있으며,집단소송 제도는 효율적으로 손해를 배상할 수 있어 두 제도 모두 소 비자 보호에 필요함에도 정부가 소극적으로 검토하고 있다 는 지적과 우리나라의 법체계가 영미권과 달라 적합하지 않 다거나 민사소송법과의 관계를 신중하게 검토해야 한다는 - 51 -
의견도 있으므로 관계부처와 협의하고,입법과정에서 심도 있는 논의가 필요하다는 답변이 있었음. o재발방지대책 관련 -개인정보 수집 동의서가 복잡하게 작성되어 있어 고객이 내 용을 파악하기 어려우므로 동의서의 내용을 쉽게 파악할 수 있도록 개선할 필요가 있다는 지적과 고객의 편의성을 고려 하여 개선할 수 있도록 노력하겠다는 답변이 있었음. -문송천 참고인이 주민번호를 대체할 방안으로 영국경찰이 사용하는 식별정보를 제시하였는데 이 기회에 적극적으로 검토하라는 지적과 다각도로 검토 중이라는 답변이 있었음. - 52 -
나.금융위원회 o부실 축소 수사의 의혹이 있는데 법무부장관에게 엄정한 수 사를 건의할 생각은 없는지에 대한 질의와 창원지검은 수사 에 충실했다고 발표하였는데 다시 검토해서 문제가 있다면 법무부장관에게 건의하겠다는 답변이 있었음. o보안프로그램인 에스코트가 무력화 될 수 있다는 사실을 다 른 기관들에게 전달하였는지에 대한 질의와 전달하지 못했 다는 답변이 있었음. o금융당국의 인식의 문제 -2011년 개인정보보호법 시행령 발효 전에 금융위원회는 안 전행정부와 업무협의를 거쳐 신용정보법,전자금융거래법에 서 기술적,관리적,물리적 보호조치를 마련하고 있기 때문 에 개인정보보호법에서는 신용정보 및 금융거래에 관한 조 치를 배제했으면 한다는 것과 금융회사의 DB를 암호화하게 되면 금융시스템의 성능 저하,업무량 과중,비용 소요 등이 우려된다는 의견을 냈는데,이번 사건은 한 두 사람의 일탈 행위가 아니라 구조적인 문제로 보이기 때문에 이를 다시 검토해야한다는 지적이 있었음. -정부당국이 2차 유출이 안됐다는 인식이 잘못되었다는 지적 과 2차 유출이 안된 것으로 파악하지만 정보유출사태에 대 해서는 심각하게 인식하고 있다는 답변이 있었음. o금융위원회가 업계의 이익을 대변하는 듯한 인상을 준다는 지적과 시너지 효과,효율성 등을 도모하려다가 오해의 소지 - 53 -
가 있게 되었다는 답변이 있었음 o보험계약내용은 영구보존이 필요하다는 의견이 있는데,해당 내용은 시스템적으로 분리시키므로 문제가 없는 것은 아닌 지에 대한 질의와 별도 DB로 관리하고 있다는 답변이 있었 음. o신용정보집중시스템은 금융회사들의 영업행태를 선진화하고 신용거래를 정착하기 위해 만든 시스템인데,현재는 은행연 합회의 자료가 대부업체 및 카드사의 영업을 위한 자료로 활용되고 있어 현 시스템의 근본적인 변화가 필요한 것은 아닌지에 대한 질의와 CB사들이 원래 취지와는 다르게 운영 되고 있는 것은 전면적으로 개편을 하겠으며,CB의 공공성 을 강화하는 방향으로 제도적 변화를 추진하겠다는 답변이 있었음. okb국민은행과 KB카드 분사 시 신용정보의 이용 및 보호에 관한 법률 상 금융위원회가 승인을 하도록 되어 있는데도 불 구하고 이를 하지 않았다는 지적과 명시적 승인은 하지 않 았고,정보제공 여부에 대해서도 지금 조사 진행 중이며,관 련 자료를 제출하겠다는 금융위원장의 답변이 있었음. o금융지주회사의 정보 공유 관련 -영업목적으로 정보공유를 제한하는 것뿐만 아니라 간접적이 지만 CRM과 같이 영업의 목적이 있는 경우에도 고객 정보 의 공유를 제한할 필요가 있다는 지적과 고객의 이익이 확 실한 경우에만 이사회 동의를 얻어서 정보공유를 하겠다는 - 54 -
답변이 있었음. -현재 금융지주회사법 등 관련법의 규율이 느슨하여 지주회 사 내 계열사 간 개인정보의 유통이 자유롭게 이뤄지고 있 는데,영장을 발부하여 개인정보를 습득하고 있는 사법부에 비해 개인정보 습득이 지나치므로 이를 규율할 필요가 있다 는 지적과 이에 대해 공동 TF에서 총체적인 점검을 실시하 는 한편 개인정보보호법 등 관련법의 전면 개정을 검토하겠 다는 답변이 있었음. -금융지주회사법 제48조의2를 근거로 지주회사와 계열회사 간 정보가 공유되고 있는데 현행법을 개정하여 과도한 정보 공유를 방지할 필요가 있다는 지적이 있었음. -지주회사와 계열회사 간 포괄적인 정보제공을 허용하는 현 행 금융지주회사법을 개정하는 경우 필수 정보제공 업체에 대해서는 정보제공이 실제로 필요한지에 대해 제대로 검사 할 필요가 있다는 지적과 필수 정보제공 업체의 목록을 철 저히 검토하겠다는 답변이 있었음. -하나금융지주는 고객의 정보를 활용하는 시너지 박스를 구 축하여 이용하는데 외환은행과의 합병을 계기로 외환은행의 고객정보를 시너지 박스에서 활용하려고 외환은행에 고객 정보를 요구하고 있으며,이미 외환은행의 고객정보를 영업 에 활용하였는데 금융당국의 조사와 합당한 조치가 필요하 다는 지적과 실태를 파악하여 법규정 위반시 그에 따른 제 재를 하겠다는 답변이 있었음. - 55 -
o신용정보의 집중 시스템에 문제가 있으므로 2월 안에 국민 들이 신뢰할 수 있는 시스템을 마련할 필요가 있다는 지적 과 최대한 노력해서 성과를 내겠다는 답변이 있었음. o정보 제공의 포괄적 동의 관련 - 필요 최소한의 정보 수집 원칙 을 위반하여 카드사 마다 상 이한 규정에 따라 많게는 30개 이상의 정보를 수집하도록 하고 있는 현 포괄적 동의규정은 문제가 있으며,수집된 정 보의 수를 줄여야 한다는 지적과 이에 대해 카드사의 무분 별한 개인정보 수집에 대한 감독을 강화하겠다는 답변이 있 었음. o지난 2월 정부의 대책 발표에 따르면,향후 개인정보의 관리 를 철저히 하고자 이사회에서 정보 보호 상황을 보고하도록 하고 그 내용을 고객에게 공개하도록 추진할 예정이라 하나, 명확한 가이드 라인이 미비하다는 지적과 가이드라인을 추 가 보완하여 추진하겠다는 답변이 있었음. o개인정보 관리 및 감독의 미흡 -KCB의 R-GEO 및 NICE의 GEO-CLUSTER 사업이 무분 별하게 개인정보를 습득하고 판매한다는 사실을 금융위원장 이 인지하고 있었는지에 대한 질의와 알지 못하였다는 답변 이 있었음. -개인정보 유출 사태는 기술적인 문제보다는 보안 매뉴얼을 지키지 않는 등 관리체계의 문제라는 지적이 있었음. -카드사는 고객이 탈회한 후에는 제휴업체에 제공한 고객의 - 56 -
정보를 삭제할 필요가 있다는 지적과 고객 정보의 활용목적 이 사라지면 삭제토록 지도하겠다는 답변이 있었음 o개인식별정보를 가지고 데이터를 가공하는 것은 신용정보보 호법에서 개인식별정보의 제공뿐만 아니라 이용도 금지하고 있는 것에 비추어 볼 때 문제가 된다는 지적과 확인하겠다 는 답변이 있었음. o전반적인 개인정보보호 실태를 조사하고 대책을 마련하여야 한다는 지적과 제휴관계에서 문제가 발생할 소지가 많은 만 큼 회사가 제휴를 맺은 업체에 대한 관리를 책임지도록 하 는 방안을 검토 중인데 제휴회사가 많아 전수조사는 힘들고 표본조사를 실시할 계획이라는 답변이 있었음. o카드결제내역 통지 SMS에 대하여 무료화가 필요하다는 지 적과 무료화방안을 적극적으로 검토하겠다는 답변이 있었음. o금융회사의 외주를 받은 대출모집인이 다시 대부중개업체, 미등록대출모집인에게 외주를 주어 불법적으로 정보를 취득 하는 경우가 많은데 외주를 준 대출모집인에게 정보를 받을 경우 금융회사가 그 정보의 불법취득여부를 확인하고 이에 대한 책임을 물도록 하는 내용의 법 개정이 필요하다는 지 적과 금융위원회 회의에서도 유사한 내용의 대책이 논의되 었다는 답변이 있었음. o한국자산관리공사에서 국민행복기금의 고객 287만명의 정보 를 담당하는 23개 업체에 대한 실태조사를 하였는데 100점 만점에 18점을 받을 정도로 보안시스템을 제대로 갖추지 않 - 57 -
은 회사를 참여시켰다는 지적과 공사에서 현재 자체조사 중 인데 미흡한 회사는 2월말 재계약에서 배제할 계획이라는 답변이 있었음. o개인정보 유출 사태의 책임 관련 -현행 금융지주회사법상 고객정보관리인에게 개인정보 유출 의 법적책임이 있는 것은 아닌지에 대한 질의와 법문상 고 객정보관리인의 책임이 규정되어 있고,검사결과에 따라 공 정하게 조치하겠다는 답변이 있었음. -KB카드의 보안매뉴얼 제6조에서는 고객정보관리에 대한 일 체의 책임이 KB카드에 있음을 밝히고 있으며,제7조에서는 이행여부를 보고받고 적정성을 심사하도록 하는 내부책임이 있다고 규정하고 있는데 임직원이 이를 준수하지 않았다면 징계대상이 되는지에 대한 질의와 금융감독원에서 감독 중 에 있으며,보안매뉴얼을 준수하지 않았다면 징계할 것이라 는 답변이 있었음. -동양종금사태,카드대란 등 금융사고가 계속 발생하는 데에 는 금융당국이 솜방망이 처벌을 하는 등 제대로 처리하지 못한 잘못이 있는데,카드사에게 책임을 떠넘기거나 사건을 축소 은폐해서는 안 된다는 지적과 축소 은폐하려는 생각은 전혀 없고 대책을 마련하고 있다는 답변이 있었음. o금융회사 등에 대한 제재 관련 -개인정보가 유출된 카드사에 대하여 3개월 영업정지와 600 만원의 과태료를 부과했는데 영업정지는 오히려 고객에게 - 58 -
불이익이 되므로 카드사에 불이익이 갈 수 있도록 과태료의 액수를 높일 필요가 있다는 지적과 고객에게 피해가 가지 않는 범위에서 영업정지를 부과할 것이며,600만원은 현행 법상 부과할 수 있는 최고한도의 금액이지만 일반 국민의 법감정과 차이가 있으므로 현행법을 개정하여 과태료 액수 를 높일 것이라는 답변이 있었음. -신용정보회사 KCB제재와 관련해서 법상 영업정지가 없어 제도가 미비하다는 지적과 법 개정을 통해 법적 미비를 보 완하겠다는 답변이 있었음. -KCB에 어떠한 조치를 취할지에 대한 질의와 검사결과가 나 오면 결과에 따라 합당한 제재를 실시하겠다는 답변이 있었 음. -과거 개인정보 유출 사건이 발생하였을 때 솜방망이 처벌을 한 것이 이번과 같은 대형사고를 유발시킨 원인이라는 지적 과 이번에 법이 허용하는 한에서는 가장 강한 제재를 하였 으며 향후 제재를 강화하기 위하여 법을 개정하도록 하겠다 는 답변이 있었음. -신용정보회사가 정보의 활용에 있어서 개인의 동의를 제대 로 받고 있는지에 대해 샘플링 조사를 하는데 샘플링 조사 만으로도 개인의 동의를 받지 않은 사실을 확인하였으므로 이에 대해 제재를 할 필요가 있다는 지적과 신용정보회사가 정보의 활용에 중점을 둠으로써 문제가 발생하였으며 신용 정보법을 개정하여 문제점을 보완하겠다는 답변이 있었음. - 59 -
o재발방지대책 관련 -개인정보의 암호화 필요성에 대한 질의와 개인정보의 암호 화는 필요하지만 전체적으로 일시에 암호화를 할 경우 시스 템의 안정성에 대한 우려가 있고,대규모 데이터를 가지고 있는 대형 금융회사의 경우 5년마다 차세대 전산시스템으로 개편하고 있으므로 개편시기에 맞춰 순차적으로 암호화하겠 다는 답변이 있었음. -금융당국이 개별 금융회사의 정보보안 등을 모두 관리하기 어려우므로 금융기관이 자체 정기검사를 의무적으로 실시하 도록 하여야 한다는 지적과 필요성을 인정한다는 답변이 있 었음. -농협중앙회와 단위조합 간 하나의 데이터를 이용하고 있어 구조적으로 보안에 위험이 있는데 고객정보와 관련된 문제 이므로 2017년으로 늦출 문제는 아니라는 지적과 비용 등의 문제가 있으나 이번 사건을 계기로 시기를 앞당기도록 독려 하여 보겠다는 답변이 있었음. o피해구제 관련 -정보 유출이 발생할 경우 금융소비자를 구제하기 위한 징벌 적 손해배상제의 수립 등 종합적인 구제 대책이 마련되어야 한다는 지적과 추후 TF 등에서 논의를 통해 검토해 나갈 것이라는 답변이 있었음. -금융기관들이 개인정보유출 배상책임보험에 가입되어있음에 도 불구하고 손해배상이 이뤄지지 못하고 있다는 지적과 실 - 60 -
질적인 피해구제 대책마련을 위한 국회심사과정에 적극 협 력하겠다는 답변이 있었음. -정부에서 추진하려는 징벌적 과징금만으로는 피해자 보호에 부족한 부분이 있고 징벌적 손해배상제도 및 집단소송제도 도입을 전향적으로 검토하라는 지적과 검토하겠다는 답변이 있었음. -이미 유통된 수만 여건의 개인정보에 대해서 여러 수단을 활용하여 정보를 회수할 수 있는 방안을 강구하라는 지적이 있었음. - 61 -
다.금융감독원 o개인정보 관리 및 감독의 미흡 -이번에 유출된 개인정보 중 탈회한 자의 정보비율이 16%나 되는데 개인정보보호법상 개인정보가 불필요하게 되었을 경 우 파기하거나 다른 개인정보와 분리하여 관리,저장하도록 하므로 현황을 즉시 파악하여 처리할 필요가 있다는 지적과 불필요한 개인정보를 법에 따라 빠르게 처리하겠다는 답변 이 있었음. -보안매뉴얼은 잘 되어 있는데 현장 검사를 전담하는 직원이 부족하여 실제 이행점검이 미흡하다는 지적과 내부적으로 반성하고 있고 검사방식 등을 개선하겠다는 답변이 있었음. -금융감독원은 지난 농협 및 신한의 금융해킹 사고 이후,IT 보안 등을 개선할 목적으로 296개 사에 대한 IT 보호업무 모범규준을 적용토록 하였으나,금융당국은 현장점검을 소 홀히 하고 금융기관은 이를 제대로 이행하지 않은 결과,최 근의 카드 개인정보 유출사고가 발생하게 되었다는 지적과 IT 관리인력을 보충하여 내실 있는 관리 감독 의무를 다하 겠다는 답변이 있었음. -금융감독원 종합검사 결과보고서에서 롯데카드가 PC보안시 스템(E-Scort)를 사용하고 프로젝트 투입신청서,전산개발자 보안서약서 등의 문서를 잘 관리하고 있다고 하였는데 실제 보안시스템이 없는 PC를 사용하고 입회인이 있었음에도 유 출을 발견하지 못했으므로 내부공모자는 없는지 여부와 외 - 62 -
부직원의 모든 pc의 반출입에 대한 점검항목이 누락되는 등 제도상 허점은 없는지에 대해 제대로 파악해야 한다는 지적 과 그렇게 하겠다는 답변이 있었음. o금융당국을 포함한 금융기관들이 개인정보 보호 의무에 대 해 소홀한 인식을 가지고 있었고,이에 대한 안일한 대처 수 립으로 추가 해킹 위협,정보 유출 등의 문제가 있는 바,총 체적인 대책 점검과 금융소비자 피해를 구조하기 위한 실질 적인 조치가 필요하다는 지적이 있었음. o이번 개인정보 유출 경로에 대한 증인과 농협카드사 간 진 술이 상이하며 검찰과 금융감독원의 조사결과가 일치하지 않는 점 등 조사가 미진한 문제가 있으므로 철저한 조사가 필요하며,그 결과에 대한 추가 보고가 필요하다는 지적이 있었음. o롯데카드의 경우 개인정보가 549개 위탁 제휴업체에 제공되 는 실정이므로 개인정보 제공 동의 시 필수 정보와 선택정 보를 명확히 구분하여 이용고객이 동의를 선택할 수 있도록 개선할 필요성이 있다는 지적과 이에 대하여는 시정조치를 하겠다는 답변이 있었음. o개인정보 유출 경위 관련 -카드사가 변환 DB형태가 아닌 DB를 박시우 등에게 제공한 문제에 대한 지적 o금융감독원 간부 출신들이 카드사 감사 등으로 재직하고 있 다는 지적과 이에 대하여는 2011년 5월 이후부터는 금융감 - 63 -
독원 간부 출신들이 금융회사 감사로 신규 취업할 수 없도 록 제도적으로 제한하고 있다는 답변이 있었음. o대출모집인에 대한 실태조사를 2012년 이후 실시하지 않았 고 담당자조차도 실태파악이 안 되고 있으므로 대출모집인 에 대한 관리감독이 강화되어야 한다는 지적과 동의한다는 답변이 있었음. o현재 우리나라는 개인정보관리가 취약하여 개인정보를 활용 하여 이익을 얻으려는 사람들이 많으므로 조치가 필요하다 는 지적과 이번 개인정보 유출사건을 계기로 금융회사 개인 정보 관리 보호의 취약성을 파악하여 문제점을 개선하도록 하겠다는 답변이 있었음 o금융감독원이 처음 설립되었을때는 직원의 50프로 가까이가 현장에 투입되었는데 최근에는 현장에 투입되는 직원이 20 프로밖에 안되어 현장감독 인원이 부족하다는 지적과 검사 인력의 확충 및 현장감독인원에 대한 처우개선을 위해 노력 하고 있다는 답변이 있었음. o은행연합회가 2012년에 실시한 개인정보제공 동의에 대한 샘플조사결과 개인정보주체의 동의를 받지 않은 사실이 확 인되는 등 관련절차에 문제점이 발견되었으므로 이에 대해 제재를 할 필요가 있다는 지적과 금융위원회와 협조를 하여 문제점을 개선하겠다는 답변이 있었음. o현재 정보제공을 받을 때 필수가 아닌 선택사항이라도 정보 제공을 요구하는 경우가 많은데 제3자에게 정보를 제공하는 - 64 -
것에 대해 동의여부를 받을 때는 시간적 여유를 둘 필요가 있다는 지적과 검토하겠다는 답변이 있었음. o재발방지대책 관련 -보안프로그램 등으로는 개인정보 유출 사태를 근본적으로 막기는 어려운데 다른 조치가 필요한지에 대한 질의와 보안 프로그램의 다양성 구축과 현장에서 작업 공간을 확보하는 문제 등 전문적,기술적 방안이 동시에 이루어져야 한다는 답변이 있었음. -개인정보 유출을 막기 위한 방안에 대한 질의와 포괄적으로 개인정보 유출을 막기 위한 제도 등은 구비되어 있으나,이 것이 작동하는 과정에서 예외가 발생하는 것을 억제하고, 수시로 점검하는 검사 시스템 개편이 필요하다는 답변이 있 었음. -공공기관들의 보안시스템이나 업무를 위탁한 업체 선정에 엄격한 기준을 세워야 한다는 지적과 이후 중점관리할 계획 이라는 답변이 있었음. -신한은행에서 개인정보를 불법조회한 사례가 다수 적발되는 등 금융계 전반의 도덕적 해이가 만연하고 있으므로 국민을 보호하고,시스템을 철저히 보호하는 방안을 마련하라는 지 적과 전적으로 동의하며 금융질서를 바로잡도록 하겠다는 답변이 있었음. - 65 -
라.일반증인 o개인정보 유출의 동기 및 수단 관련 -피의자들에게 개인정보를 유출한 이유에 대한 질의와 금전 적인 대가를 이유로 정보를 유출하였다는 답변이 있었음. -보안프로그램인 에스코트(E-Scort)를 박시우 증인이 스스로 해제하였는지에 대한 질의와 OS를 포맷해서 스스로 에스코 트를 해제하였다는 답변이 있었음. -2012년 농협 자료 절취,2013년 국민 및 롯데 절취 등의 범 행 내용 뿐만 아니라,신한카드 작업을 할 때에도 지속적인 보안프로그램 해지 요청을 하는 등 증인의 행태로 미루어 보아 범행의 동기가 우발적이라는 답변은 죄를 가볍게 하기 위한 행위로 보인다는 지적이 있었음. -운영프로그램(OS)포맷을 통한 보안프로그램 무력화 가능성 에 대한 지적과 보안전문가가 아니더라도 운영프로그램(OS) 포맷으로 보안프로그램 무력화가 가능하다는 답변이 있었 음. -개인정보를 BP미디어,AnR커뮤니케이션에 사용하려 했는지 에 대한 질의와 광고상품기획에 활용할 수 있다고 생각했 고,향후 AnR커뮤니케이션에 활용할 수 있을 것으로 예상 했다는 답변이 있었음. -박시우,조민재,AnR커뮤니케이션의 공모가 있었던 것이 아 닌지에 대한 지적과 공모는 없었다는 답변이 있었음. -박시우 증인은 AnR커뮤니케이션의 사내이사를 했고 비아이 - 66 -
랩의 사내이사도 했는데 이는 정보유출을 위하여 의도적으 로 행동한 것은 아닌지에 대한 질의와 그렇지 않다는 답변 이 있었음. -조민재로부터 요구를 받고 개인정보를 빼낸 것인지 개인정 보를 빼내었다가 조민재로부터 요구를 받고 전달해 준 것인 지에 대한 질의와 개인정보 자료를 빼내달라는 이야기를 들 었으나 초반에는 묵살하였고,일정한 시기가 지난 후에 데 이터를 먼저 빼내어 제공하였다는 답변이 있었음. o피의자 진술의 신빙성 관련 -증인 조민재가 획득한 정보는 7,000만건 이상이었는데 그 중 130만건 정도만 이모씨 1명에게 넘긴 것이 상식적으로 이해가 되지 않는다는 지적과 획득한 정보가 암호화된 형태 로 저장되어 있어 약 130만건이 전부인줄 알았다는 답변이 있었음. -우발적인 범죄라는 점,더 많은 정보를 유출시킬 수 있었음 에도 1,650만원의 대가를 받을 정도만 정보를 유출하였다는 점,조민재 외 다른 사람에게는 정보를 유출한 적 없다는 점 등 박시우 증인의 주장은 상식적으로 이해가 되지 않는 다는 지적이 있었음. o검찰 수사의 미흡 관련 -검찰은 조민재 증인이 AnR커뮤니케이션의 지분을 50%나 가지고 있는데 이러한 ANR커뮤니케이션과 조민재 증인 간 의 특수관계도 제대로 파악하지 못하였으며,조민재 증인의 - 67 -
컴퓨터만 압수수색하고 AnR커뮤니케이션의 다른 직원의 컴 퓨터는 압수수색하지 않는 등 수사를 제대로 하지 못하였으 므로 전면적인 재조사를 거쳐 국민적 의혹을 해소해야 한다 는 지적이 있었음. -박시우 증인은 AnR커뮤니케이션의 사내이사이고 그 회사의 장모 대표와는 대학교 동문이며 AnR커뮤니케이션은 개인정 보를 활용할 가능성이 높은 광고대행업체인데 검찰은 AnR 커뮤니케이션에 대해 제대로 수사하지 않았다는 지적이 있 었음. -증인 박시우에 따르면 2012년 8월에 NH카드에 디스크 증설 작업을 이유로 보안 해제를 요청하였고,NH카드에서는 보 안을 풀어 개인정보를 제공하였다고 하였으나,농협카드사 에서는 보안을 풀어주지 않았고 증인이 보안을 풀었다고 답 변함. 이에 따라,증인 박시우씨의 진술 및 검찰 공소장 내용과 농협카드사 직원 간 진술이 상이할 뿐만 아니라 금융감독원 도 아직까지 누가 해제하였는지 여부를 파악하지 못하는 등 해당 사실에 대해 수사가 미진하여 제대로 알기가 어려우므 로 수사의 내실을 강화해야 한다는 지적이 있었음. -박시우 증인은 2009년 11월부터 2011년 11월까지 2년동안 비아이랩에서 근무하며 해당 기간 동안 롯데카드와 삼성 카드 등에서 FDS 리모델링 프로젝트를 수행한 바 이와 관 련된 추가 조사가 있어야 한다는 지적이 있었음. - 68 -
o개인의 의료정보가 유출되는 경우에는 더 큰 피해 발생이 우려되는데 KB국민에서 발생한 사태가 같은 지주회사 내의 계열회사인 KB 생명에서도 발생할 우려가 있으니 이에 대 한 대책이 필요하다는 의견과 각 계열사 내에 정보를 활용 하는 경우에도 엄격한 절차를 적용하고 있으며,이용기간이 지난 고객정보의 폐기절차를 준수하고,고객정보시스템의 접 근을 엄격히 통제하며 보안시스템을 철저히 구축해서 사고 가 발생하지 않도록 관리하겠다는 답변이 있었음. o개인정보 관리 및 감독의 미흡 -은행연합회가 안전행정부에 금융거래 특성상 금융거래내역 등은 영구보존의 필요성이 있어 보존기간 만료를 이유로 파 기하는 것은 현실적으로 불가능하다는 의견을 제시하였는데 이에 대한 질의와 개인정보보호법에 따라 개인정보가 불필 요하게 되었을 때는 개인정보를 파기할 필요가 있지만 개인 정보가 불필요하게 된 시점에 대해서 이견이 있을 수 있다 는 답변이 있었음. -은행연합회가 개인정보를 파기하려는 노력조차 하지 않고 지속적으로 보유하는 문제점에 대한 지적과 이번 사건을 계 기로 금융사들이 정보의 필요성에 대해 신중히 판단할 것이 라는 답변이 있었음. -농협카드에서 정보를 습득하는 과정에 대한 질의와 농협 카 드 FDS 팀에 실 데이터 필요성을 요청하였고,이후 농협 정보시스템의 유지 보수 담당자에 요청하여 정보를 습득할 - 69 -
수 있었으며,이후에는 개발 서버접근 허가가 떨어져 개발 서버 접근이 더욱 용의해졌다는 답변이 있었음. -카드사는 실데이터를 용역직원에게 제공하지 못하도록 되어 있음에도 특별한 주의없이 실데이터를 제공한 문제가 있다 는 지적과 카드사의 과실책임을 인정하며 향후 제도적인 문 제점이 있다면 이를 개선하고 직원교육을 철저히 할 것이라 는 답변이 있었음. -카드사는 외부용역업체 직원에게 보안서약서 서명만 요구하 고 보안교육 및 관리가 미흡하였다는 지적과 이에 대하여 미흡한 측면이 있었음을 인정하고 향후 개선하겠다는 답변 이 있었음. o농협지주의 경우 최근 내부직원 횡령,유용,전산보안사고 등 근무기강해이가 심각하다는 지적과 금융감독원의 조사를 받고 중징계를 받았다는 답변이 있었음. o금융지주회사 내 계열회사 간 정보공유 관련 -KB금융지주는 2013년 20억건의 정보를 지주내 계열회사 간 에 공유하였는데 금융지주회사가 고객의 정보를 공유하는 것을 고객에게 통보나 고지하지 않고 영업에 활용하는 것은 문제라는 지적과 공유되는 정보 중에 영업에 사용하는 것은 실제로 1% 정도 되는데,향후 이를 더 축소하겠다는 답변이 있었음. -롯데카드는 25개의 제휴업체에 대해 필수적으로 고객정보를 제공하도록 하는데 필수적 정보제공 업체의 선정에 문제가 - 70 -
있다는 지적과 포인트의 적립과 포인트의 사용이라는 목적 을 위해서 최소한의 식별 자료만 제공하고 있다는 답변이 있었음. o국내 금융회사 대부분이 CISO(정보보호최고책임자)와 CIO (최고정보책임자)를 겸하고 있어 개인정보 보호에 대한 주의 의식이 취약하므로 CISO와 CIO의 겸직을 제한해야 한다는 지적이 있었음. o농협카드사는 실데이터를 직접 제공한 것도 문제이나,지난 2013년 4월 금융감독원의 IT 현장검사 당시 IT 개인정보 보 안규정을 준수했다고 허위보고한 것부터 문제가 있다는 지 적과 잘못을 인정한다는 답변이 있었음. o개인정보 관리의 취약성 관련 -KB금융지주는 정보보안 수준이 3등급(5등급 기준)으로 매 우 낮으며,불필요한 정보의 파기 기한을 준수하지 않아서 지난 2013년 3월 금융감독원으로부터 지적을 받았으나 즉시 시정하지 않은 것이 현재 사고를 악화시키게 되었다는 지적 과 안전행정부로부터 개인정보 관리 관련 가이드라인을 제 공받았고,그 가이드라인을 준수하도록 회사시스템을 정비 하는 중이라는 답변이 있었음. -농협은 빈번하게 보안사고가 발생한다는 지적과 향후 보안 사고가 발생하지 않도록 철저히 관리하겠다는 답변이 있었 음. -시스템을 움직이는 내부 직원이 불법 등을 저지르면 이에 - 71 -
대한 통제가 이뤄지기 어렵다는 지적이 있었음. o신용정보회사의 개인정보 취급 문제 관련 -KCB R-GEO와 NICE GEO-CLUSTER사업은 다양한 개인 정보를 수집하고 이를 직접 홍보하고 있는데,이러한 무분 별한 개인 정보를 수집하고 판매하도록 하고 있는 행위는 현행 주민등록법 및 신용정보법 위반의 여지가 있으므로 충 분한 수사 및 검증이 필요하다는 지적과 NICE의 GEO- CLUSTER 사업은 개인 정보 수집과는 관련이 적다는 답변 이 있었음. -NICE에서는 개인정보를 최장 10년치까지 제공할 수 있도록 홍보하고 있으나,지난 안전행정부의 주민등록법 시행령 개 정으로 현 주소지 이외에는 이전 주소지 등의 정보를 제공 할 수 없도록 법령이 개정되었다는 지적과 알지 못했다는 답변이 있었음. -NICE의 GEO-CLUSTER 사업은 주민등록정보를 수집하고 가구 및 동료 단위로 블록화된 정보를 판매하는 것이라는 질의와 GEO-CLUSTER 사업은 KCB R-GEO와 다르게 정 보 식별이 아닌 관련 통계치에 대한 정보를 제공하는 것이 라는 답변이 있었음. -NICE의 제공 서비스 중 더존 서비스에서는 개인의 주민등 록번호와 주소 등이 거래되고 있는데,이는 신용정보법에 의해 개인의 동의에 기반한 의뢰자의 의뢰 및 조회 요구 등 이 있어야만 가능하나 이를 위반하였다는 지적이 있었음. - 72 -
-신용정보집중시스템은 금융회사들의 영업행태를 선진화하고 신용거래를 정착하기 위해 만든 시스템인데,현재는 은행연 합회의 자료가 대부업체 및 카드사의 영업을 위한 자료로 활용되고 있어 현 시스템의 근본적인 변화가 필요한 것이 아닌지에 대한 질의와 대부업체는 신용정보회사를 통해 정 보를 받고 있으며 은행연합회는 은행뿐만 아니라 모든 금융 업권의 신용정보를 집중하고 있고 모든 금융회사가 비용을 분담하고 있기 때문에,비용을 분담해서 수집한 금융신용정 보를 활용할 권한 있는 사람들에게 사용하도록 할 필요가 있다는 답변이 있었음. okb금융지주회사에서 국민카드를 분할할 때에 국민은행 고 객 정보가 넘어간 것에 대해 금융당국의 승인에 따라 고객 정보를 제공한 것이었는지에 대한 질의와 국민은행에서 카 드를 분할할 때 금융위원회의 포괄적인 승인을 받았다는 답 변이 있었음. o국내 금융회사들이 낙하산 인사 및 관치 금융의 행태에 머 무르며 정보보호에 대한 관심이 부족하다는 지적이 있었음. o카드사에서 고객들에게 손해배상을 한 후 KCB에 구상권을 행사할지 여부에 대한 질의와 일단 수습이 먼저이고 이 후 법률자문을 거쳐 검토하겠다는 카드사들의 답변이 있었음. o나이스홀딩스의 임원 대다수가 금융당국의 고위관료 출신이 라는 지적과 전문적인 지식을 갖추었다고 판단하여 영입하 였다는 답변이 있었음. - 73 -
okcb의 허술한 직원 관리 관련 -직원채용 및 관리에 문제가 있다는 지적과 직원을 채용할 때에는 다른 회사와 다르지 않게 일반적인 채용관리를 거쳤 으며 보안교육을 철저히 하고 있다는 답변이 있었음. -KCB는 피의자가 신한카드에서 부적절하게 처신하여 교체를 요구받았음에도 이러한 사실을 제대로 파악하지 못하고 롯 데카드의 업무를 맡긴 문제가 있다는 지적이 있었음. -박시우 증인은 신한카드에 대해서 작업의 지연 등을 이유로 USB사용의 허가 및 실데이터를 지속적으로 요구하였으며 국민카드에 대해서도 작업의 효율성 등을 이유로 실데이터 를 지속적으로 요구하였다는 지적이 있었음. -KCB가 파견직원의 관리 감독이 미흡하여 개인정보 유출사 태가 발생하였으며 이에 대한 책임은 사장에게 있다는 지적 이 있었음. o신용정보회사가 정보의 활용에 있어서 개인의 동의를 제대 로 받고 있는지에 대해 샘플링 조사를 하는데 샘플링 조사 만으로도 개인의 동의를 받지 않은 사실을 확인하였으므로 향후 개선이 필요하다는 지적과 본인 동의 여부를 보다 철 저히 조사하겠다는 답변이 있었음. o농협이 사기이용계좌로 많이 이용되는데 이는 농협의 IT시 스템에 문제가 있으므로 대책이 필요하다는 지적과 농협통 장을 이용할 때 목적확인제를 도입하고,사기이용계좌의 소 지가 있는 경우는 철저히 차단하는 등의 노력으로 재작년에 - 74 -
비해 작년에는 사기이용계좌의 비율을 큰 폭으로 감소시켰 다는 답변이 있었음. o개인정보 유출 사건의 책임 관련 -금융지주회사는 신용정보의 이용 및 보호에 관한 법률 에 따라 고객의 신용정보 보호 업무를 담당하는 신용정보관리 보호인 을 두도록 되어 있으며, 금융지주회사법 상 고객정보 관리인 을 신용정보관리 보호인 으로 간주하고 있으므로 금 융지주회사법에 따른 고객정보관리인 인 KB금융지주 임영 록 회장은 신용정보의 이용 및 보호에 관한 법률 에 따라 신용정보관리인 으로서의 책임도 부여받기 때문에 이번 사 태에 실질적인 책임자라는 지적이 있었음. -신용의 문제가 있는 사람을 다른 카드사 등에 추가 파견하 여 일하게 하는 등 이번 카드 정보 유출사건은 KCB사장과 PM관리자의 의무 해태의 문제가 크고,KCB에서는 이번 사 건에 대하여 어떻게 책임을 질 것인지에 대한 지적과 KCB 는 2월 13일부터 금융명의보호서비스를 1년간 무료로 개인 이 요청하지 않는 카드 발급 등을 차단하는 조치를 시작하 였다고 답변이 있었음. -KCB가 현재의 피해를 보상할 생각이 있는지에 대한 질의와 재판 결과 회사에 책임이 주어지면 그 책임을 다하겠다는 답변이 있었음. -KCB는 개인의 신용정보를 관리하는 회사인데도 불구하고 직원이 개인정보를 유출한 것에 대해 책임이 없는지에 대한 - 75 -
질의와 이번 사태를 계기로 반성하고 문제점이 있으면 보완 하도록 하겠다는 답변이 있었음. o재발방지대책 관련 -금융회사는 텔레마케팅 등 부수업무를 통해 많은 수익을 창 출하는 것으로 알고 있는데,수수료 수익의 일부라도 투자 한다면 충분히 이번 사태를 막을 수 있었다는 지적과 동일 사태의 재발을 막기 위해 노력하겠다는 답변이 있었음. -농협단위조합과 농협은행이 동일한 전산자료를 이용하고 있 는데 분리하는 조치가 늦춰지고 있다는 지적과 분리하기로 합의는 되었으나 물리적인 분리는 2017년까지 끝내겠다는 답변이 있었음. -카드사는 IT부분의 외주화가 활발히 이루어지고 있는데 외 주화를 줄이고 자체인력으로 대체할 계획이 있는지에 대한 질의와 IT계열사를 활용하는 등의 방식으로 장기적으로는 외주비율을 줄이도록 노력하겠다는 답변이 있었음. o피해구제 관련 -롯데카드는 정신적 피해에 대해 보상한다고 했는데 정신적 피해란 구체적으로 어떠한 것이 있는지에 대한 질의와 정신 적 피해는 정보유출로 인하여 발생한 피해를 수습하는데 소 요되는 시간 등을 말한다는 답변이 있었음. -롯데카드는 정신적 피해에 대해서도 보상한다고 했는데 다 른 카드사는 정신적 피해에 대한 보상 계획은 없는지에 대 한 질의와 다른 사례를 참고하거나 법적 절차에 따라 보상 - 76 -
하겠다는 답변이 있었음. -개인정보가 유출된 고객들이 카드를 해지함에 따라 각 카드 사에 카드를 해지한 고객의 포인트가 소멸될 우려가 있는데 카드사의 잘못이 있으므로 고객의 포인트를 적극적으로 돌 려줄 필요가 있다는 지적과 사건 초기에 고객들에게 적극적 으로 포인트를 찾아가도록 안내를 하지 못했던 잘못이 있었 으나 1월 27일부터는 안내를 하고 있다는 답변이 있었음. -롯데카드가 금융회사 개인정보유출 배상책임보험에 가입되 어있음에도 불구하고 이에 대한 배상이 이뤄지지 못하고 있 다는 지적이 있었음. -피해자에 대한 적극적인 보상을 검토할 필요가 있다는 지적 과 2차 유출이 확인되면 정신적 피해에 대해서도 배상하고 고객에게 혜택을 주는 대책을 적극적으로 검토하겠다는 답 변이 있었음. -피해구제대책이 진정성 있게 진행되는지 의구심이 있다는 지적과 최선을 다해 피해자구제를 위해 노력하겠다는 답변 이 있었음. - 77 -
마.참고인 o2차유출 관련 -개인정보 유출에 사용된 USB를 회수하여 개인정보가 2차적 으로 유출되지 않았다는 정부 주장에 대한 평가와 USB를 확인한 것만으로 2차 유출이 없었다고 생각할 수는 없고, IT전문가의 시각에서 볼 때 유출된 정보는 이미 복사되어 유통되었을 가능성이 크다는 답변이 있었음. -정부의 카드사 개인정보의 2차 유출이 없다는 주장의 신빙 성 여부에 대한 질의와 피의자는 정보의 가치를 제대로 인 식하고 있으며,개인정보를 아무런 흔적없이 타인에게 전달 하는 기술적인 능력도 있으므로 유출한 개인정보를 그대로 소지하였다는 것은 믿기 어렵다는 답변이 있었음. o개인정보 관리의 문제 관련 -개인정보보호법과 신용정보보호법에는 개인정보를 암호화 하도록 하고 있는데 일부 금융회사의 경우 내부망에 있는 개인정보에 대해서는 암호화가 되어있지 않는데 이 경우 위 험성은 없는지에 대한 질의와 내부망에 있는 개인정보는 유 출 가능성이 전혀 없다고 할 수 없으므로 유출가능성을 고 려하여 정보를 암호화 하여야 한다는 답변이 있었음. -우리나라는 신용정보집중 및 정보보안,신용카드사의 개인 정보 이용건수가 세계 1위 수준으로 개인정보가 유출되거나 수집목적과 다르게 활용될 위험이 높은 상황인데,내부 보 안시스템 강화만으로 개인정보 유출 사태를 억제할 수 있는 - 78 -
지 여부에 대한 질의와 개인정보 유출은 언제든지 발생할 수 있고,신용정보집중기관,금융지주회사,신용조회회사 등 이 저수지처럼 정보를 집중하고 있어 위험하다는 답변이 있 었음. -개인정보를 집적하는 현 구조를 변화시키지 않는 한 언제든 지 정보의 유출 위험이 존재하는 것은 아닌지에 대한 질의 와 자산정보 등 모든 거래내역 정보까지 필수제공정보로 되 어 있으며,신용정보집중기관으로 정보가 이동하면 개인이 철회할 수도 없는 문제가 있다는 답변이 있었음. -선진국과 비교할 때 우리나라 신용정보보호시스템의 문제점 에 대한 질의와 개별신용정보집중기관이 무원칙적으로 정보 를 집중하고 있고,신용정보법이 실제로 신용평가가 아닌 영업을 위한 것이거나 채권추심을 위한 것으로 인식되는 부 분이 있어서 이에 대한 개선이 필요하다는 답변이 있었음. o현재 개인정보 유출사태에 대처하는 정부 대책의 문제점에 대한 질의와 정부는 개인정보 유출에 따른 근본적인 해결에 는 관심이 없는 것으로 판단되는데 개인정보 유출의 근본적 인 문제는 주민등록번호에 개인의 정보가 과도하게 집중되 는 등 개인의 정보가 특정한 곳으로 집중되는 것이므로 이 를 개선할 필요가 있다는 답변이 있었음. o신용정보법에 최소수집의 원칙이 규정되어 있는지에 대한 질의와 일반적인 제한은 두고 있으나,동의의 원칙이나 최소 수집의 원칙은 개인정보보호법에 합리적인 수준 정도로만 - 79 -
규정되어 있다는 답변이 있었음. o금융회사의 정보 제공동의서,정보 조회동의서 등에 포괄적 동의,정보의 제3자 제공도 가능하도록 되어 있는지에 대한 질의와 신용정보집중기관으로 정보를 집중하도록 하고 있으 나,법에서 제한해 놓은 대출연체정보 뿐만 아니라 대출정 보,재산정보 등을 필수 표준서식으로 만들어 놓고 있는 경 우도 있다는 답변이 있었음. o재발방지대책 -개인정보 유출을 막기 위한 근본적인 해결책에 대한 질의와 비록 비용이 많이 들고 정보의 활용에 어려움이 있더라도 정보를 암호화하는 과정이 필요하며,정보보안을 위해서는 조직 인력 등을 충분히 투입할 필요가 있고,현행 주민등록 번호제도는 어떠한 방식으로든 개선이 필요한데 난수형 주 민번호 체계로 바꿔 정보가 유출되는 경우 주민번호를 새로 발급할 수 있도록 할 필요가 있다는 답변이 있었음. - 80 -
Ⅳ.시정 및 처리요구 사항 1.국무조정실 o개인정보유출사태는 범부처적인 대응이 필요함에도 불구하 고 이를 총괄하여 책임질 컨트롤타워가 부재한 실정이므로, 개인정보 관리를 위한 컨트롤 타워 신설방안을 강구할 것 o개인정보 대량유출 과정에서 파악된 보안취약요소를 전체 관련기관에 통지하여 이러한 사태가 재발되지 않도록 할 것 o정보관리의 취약성에 대한 정부 시정조치의 이행 확인을 위 한 점검체계를 확보할 것 o주민등록번호와 계좌번호만으로 부당 인출 등이 가능한 현 금융시스템의 보안미비 문제를 개선할 것 o스마트폰 앱을 통한 개인정보 유출 가능성에 대한 대책을 관련 부처에서 마련하도록 조치할 것 o주민등록번호 외에 개인을 식별할 수 있는 대체번호 를 도 입하는 방안을 검토할 것 o개인정보보호를 위해서는 시장에서 기업이 책임지도록 해야 하므로 징벌적 손해배상제도 및 집단소송제도 도입 방안을 검토할 것 - 81 -
2.기획재정부 o경제혁신 3개년 계획에 개인정보보호대책을 추가하여 금융 산업의 경쟁력 강화 뿐만 아니라 금융의 신뢰성 제고를 위 한 방안을 마련할 것 o금융회사의 개인정보 유출에 대한 실효적인 피해구제를 할 수 있도록 징벌적 손해배상제도,집단소송제 또는 입증책임 의 전환 등의 방안을 검토할 것 - 82 -
3.금융위원회 o현재 업권별 상품별로 30~50여개인 수집정보항목을 필수 항목과 선택항목으로 구분 최소화하는 방안을 강구할 것 o정보제공동의서의 양식을 소비자가 인식하기 쉽도록 개선하 는 방안을 강구할 것 o개인정보 제공 선택항목은 그 수집 목적을 설명 후 동의를 얻도록 하고,결혼기념일 등 불필요한 항목은 수집을 원칙적 으로 제한하는 방안을 강구할 것 o금융회사가 고객정보의 수집 보유 제공 활용현황 및 정 보보호정책 등을 담은 연차보고서를 작성하도록 하고,관련 세부 가이드라인을 마련할 것 o포괄적 정보제공 동의를 제한하고,제3자의 사업내용 및 연 관된 부가서비스 등을 기준으로 개별 또는 다수 그룹으로 구분하여 별도로 동의받도록 제도를 개선할 것 o제3자 정보활용 관련 개인정보보호 실태 파악을 위한 조사 를 실시할 것 o정보를 제공받은 제3자가 정보 이용기간이 경과한 후 해당 정보를 삭제하였음을 금융회사가 확인하도록 의무화할 것 o금융회사의 최고경영자(CEO)가 제3자 제공정보 관리실태를 주기적으로 보고받는 등 철저히 관리하도록 하고,제3자 정 보제공 관리실태 등을 정기적으로 검사하도록 할 것 o금융회사가 보유한 개인정보에 대한 암호화를 확대시행 하 - 83 -
는 방안을 검토할 것 o중요 개인신용정보를 수집하여 보유하는 금융회사에 대하여 는 개인정보 유출 배상보험에 의무적으로 가입하도록 하는 방안을 검토할 것 o개인정보 보존기간에 대한 관련 법률의 규정들을 관계 부처 협의를 거쳐 일관성 있게 정비하는 방안을 강구할 것 o카드사가 보유한 개인정보 중 법령상 보관기간이 경과한 후 에도 파기하지 않은 정보가 있는지 확인하고 관련 법령에 따라 시정조치를 취할 것 o카드결제내역 통지 문자서비스를 무료화하는 방안을 검토할 것 o국민행복기금 관련 개인정보를 보유하고 있는 업체에 대한 개인정보보호 실태를 점검하고 미흡한 업체에 대해서는 상 응하는 조치를 취할 것 o개인신용정보 부당조회 및 위법행위에 대하여 신용정보법 및 금융실명제법상 과태료를 상향조정하는 방안을 강구할 것 o은행연합회 또는 신용조회회사가 제공하는 조세체납정보나 연체정보에 대하여 금융회사가 법률에서 허용한 이용목적 외로 조회가 이루어지지 않도록 관리를 철저히 할 것 o종합신용정보집중기관인 은행연합회가 보유한 개인정보를 철저히 보호하도록 할 것 o영리 목적을 수행하는 신용정보회사의 체납정보 및 납세정 - 84 -
보 활용의 타당성을 재검토하고,주기적 검사결과 위반행위 가 발생할 경우에는 관련 법령에 따라 엄정한 제재조치를 취하도록 할 것 o금융인프라의 성격이 있는 신용정보회사의 공공성을 강화하 는 방안을 강구할 것 o신용정보회사 중 신용조회회사가 공공정보 및 금융회사 정 보를 활용하여 영리 목적의 부수 겸영업무를 영위하는 것을 금지하는 방안을 검토할 것 o개인정보를 유출한 신용정보회사에 대하여 영업정지 제재를 할 수 있도록 하는 방안을 강구할 것 o보험회사의 질병정보와 같은 다양한 민감정보 수집 활용에 대하여 보험산업 측면뿐만 아니라 개인정보 보호 차원에서 도 적정성을 검토할 것 ovan사 개인정보유출 소지 등을 감안하여 금융당국의 관 리 감독 강화 방안을 강구할 것 o주민등록번호와 계좌번호를 이용한 부당인출을 방지하기 위 한 방안을 검토할 것 o금융지주그룹 내 계열사 보유 정보를 활용하여 금융상품 판 매 등 외부영업에 이용하는 것을 제한하도록 할 것 o금융지주그룹 내 계열사 보유 정보를 활용하여 고객에게 연 락시 정보출처 및 고객의 이의제기 가능사실을 먼저 고지하 는 등 정보 이용내역에 대한 고지 의무를 강화할 것 o금융지주그룹 내 계열사 정보 이용기간을 필요 최소한으로 - 85 -
하고 이용기간 도과시 영구삭제하도록 하며,신용정보 관 리 보호인이 확인하도록 하는 등 내부통제를 강화하는 방 안을 강구할 것 o분사하는 금융회사의 경우 원칙적으로 자사 고객이 아닌 개 인정보는 이관받지 않도록 하는 방안을 강구할 것 osc은행과 씨티은행의 고객정보 유출에 대해 관계 법령에 따 라 엄정한 제재조치를 취할 것 ocms 부정이체사고 방지를 위한 추가조치를 취할 것 o불법유통 정보를 활용한 대출모집인,보험설계사 등에 대해 서는 즉시 전속계약을 해지하도록 제도를 개선할 것 o모집인 등에게 금융회사 고객정보를 제공시 정보가 유출되 지 않도록 관리 절차를 강화하고,모집인 영업시 적법한 정 보를 활용하여 영업하고 있는지 지속적으로 자체 점검하도 록 할 것 o대출모집인이 정보유출 또는 불법정보 활용시 금융회사에도 엄정한 위탁업무관리자의 책임을 부과하는 방안을 강구할 것 o대출모집인 관리강화를 위해 대출모집인에 대한 등록의무화, 판매행위규제 등을 규제하는 방안을 강구할 것 o신용정보 관리 보호인을 임원으로 임명하고,중요사항 CEO 보고,연차보고서 작성 등 책임과 권한을 대폭 강화하는 방 안을 강구할 것 o정보보호최고책임자(ciso)의 타 IT 관련 직위와의 겸직을 - 86 -
제한하여 독립성 및 책임성을 강화하는 방안을 강구할 것 o금융회사 정보보안에 대한 국제인증인 카드결제산업 정보보 안기준(PCIDSS)을 적용하는 방안을 검토할 것 oit정보보호 인력 양성 방안을 검토할 것 o금융회사 내부직원에 대한 보안등급제를 도입하여 정보접근 의 범위 사용절차 등에 대한 구체적 기준을 마련할 것 o금융회사의 과도한 IT아웃소싱 비율 감소방안을 강구할 것 o금융회사 자체적으로 정보보호 관련 내부통제 정기검사를 의무화하는 방안을 강구할 것 o전산사고 발생 시 금감원의 점검 이후 예방조치를 확실히 하여 정보보호 문제를 미연에 방지하도록 제도적 개선방안 을 강구할 것 o농협단위조합과 농협은행의 전산시스템 분리를 조속히 추진 할 수 있는 방안을 검토할 것 o시스템 개발 외주인력에게 고객정보 접근 및 USB 등 외부 저장 매체의 반입을 원칙적으로 금지하도록 할 것 o금융회사에 대한 보안관제 범위를 은행 증권에서 보험 카 드 등 기타 업권까지 확대하여 모니터링을 강화하는 방안을 강구할 것 o불시점검 등을 통한 금융회사의 평상 시 정보보안 이행상태 를 수시점검하도록 할 것 o개인정보를 유출 활용한 금융회사에 대한 징벌적 과징금을 - 87 -
신설하는 방안을 강구할 것 o신용정보법,전자금융거래법 등 정보유출 관련 형벌수준을 금융관련법상 최고 수준으로 상향하는 방안을 마련할 것 o금융회사 최고경영자(CEO)등 임원에 대해서도 신용정보 보 호와 관련한 의무를 부여하고,의무 등을 해태하는 경우 그 에 상응하는 제재를 부과하는 방안을 강구할 것 o개인정보 유출 관련 카드사 임 직원에 대하여 관련 법령에 따른 제재조치를 취할 것 o개인정보 유출 금융회사에 대한 기관제재를 강화하는 방안 을 강구할 것 o문자메시지,이메일,전화 등 무차별 비대면 방식의 권유 모집에 대해서는 엄격한 기준을 마련할 것 o금융회사들로부터 불법 유출되어 유통되고 있는 개인정보를 회수하는 방안을 적극 검토할 것 o개인정보보호법,신용정보법,전자금융거래법 등에 대한 종 합적인 검토를 통해 규제의 사각지대를 해소하고 개인정보 보호를 강화할 수 있도록 제도개선 방안을 강구할 것 o개인정보 대량유출 사태 재발을 방지하기 위하여 관계부처 와 협의하여 개인정보보호 종합대책을 마련할 것 o개인정보의 수집,보관,이용 등 전단계에 걸쳐 개인정보 보 호 관점 및 정보유출 재발방지 차원에서 제도와 관행을 개 선하도록 신용정보법 개정 방안을 강구할 것 - 88 -
o금융회사 개인정보 관리실태 전수조사를 조속히 마치고,미 흡사항 보완 필요사항 등에 대한 적극적 제도개선을 추진 할 것 o불법 대부광고 이용 전화번호 신속 이용정지 제도를 차질 없이 운영하는 방안을 검토할 것 o금융회사의 개인정보 유출에 대한 실효적인 피해구제를 할 수 있도록 징벌적 손해배상제도,집단소송제 또는 입증책임 의 전환을 도입하는 방안에 대하여 관계부처와 협의를 거쳐 적극 검토할 것 o개인정보 유출 시 피해보상에 대해 금융회사 약관,거래신청 서 등에 기재하여 고객이 명확히 인지할 수 있도록 하는 방 안을 검토할 것 o금융위원회 산하 공공기관 및 민간 위탁협력업체의 개인정 보보호 실태를 점검하고 정보유출 방지 대책을 마련할 것 okcb 및 NICE가 비금융회사에 제공되는 개인정보를 보면, 2013년 기준 3,594개 업체에 4,320만건이 제공되었는데,두 기관에서 정보를 제공받은 업체가 제공받은 정보를 재유출 하는지 여부에 대한 관리 감독을 강화할 것 o제3자 정보제공 동의를 하지 않거나 선택정보를 기재하지 않더라도 고객이 불이익을 받지 않도록 하고,그 위반에 대 한 제재수준을 강화할 것 o고객이 본인의 정보 이용 제공 내역을 조회할 수 있는 시스 템을 금융회사가 갖추도록 할 것 - 89 -
o거래종료 고객의 정보유출 및 불필요한 사용을 예방하기 위 하여 세부적인 대책을 마련하고,감독을 강화할 것 o금융회사가 상품이나 용역을 소개하거나 구매를 권유할 목 적 으로 제3자에게 신용정보를 제공하는 것에 대한 고객 동 의 여부를,해당 서비스 신청일이 아니라 고객이 숙려기간을 거친 후에 금융회사에 통보하도록 하는 방안을 검토할 것 o금융회사가 습득한 개인정보를 이용해 소비자에게 전화를 하거나 이메일을 보낼 경우,해당 정보를 제공한 회사와 목 적 등 개인정보를 확보한 경로를 밝히도록 의무화하는 방안 을 검토할 것 - 90 -