롯데·삼성·하나카드, 개인신용정보 미삭제건…과태료 2700~2880만원
[편집자] '야금(冶金)'은 돌에서 금속을 추출하는 기술입니다. 국민생활과 밀접한 금융에선 하루가 멀다하고 사건·사고가 끊이지 않지만, 첫단부터 끝단까지 주목받는 건 몸집이 큰 사안뿐입니다. 야금 기술자가 돌에서 금과 은을 추출하듯 뉴스의 홍수에 휩쓸려 잊혀질 수 있는 의미있는 사건·사고를 되짚어보는 [한국금융의 뒷얘기 야금야금] 코너를 종합뉴스통신 뉴스핌이 최근 선보였습니다. 왜 그런 일이 생겼는지, 이후 개선된 건 있는지 등 한국금융의 다사다난한 뒷얘기를 매주 금요일 만나보세요.
[서울=뉴스핌] 박미리 기자 = 재작년 금감원 검사에서는 롯데, 삼성, 하나카드가 삭제해야했던 고객의 개인신용정보를 지우지 않아 혼쭐이 났다.
"전 금융회사를 대상으로 고객 개인정보 관리가 잘 이뤄지고 있는지 서면검사를 실시했어요. 서류만으로는 한계가 있어서 미흡하다고 여겨진 금융회사를 담당하는 검사국에 내용을 전달했죠. 카드사 중에서는 롯데, 삼성, 하나카드만 미흡했어요."(금감원 관계자)
◆ 지워야할 개인신용정보, 적발되자 '삭제'
당시 ▲롯데카드는 2016년 3월부터 2018년 7월 사이 소멸시효가 완성된 개인신용정보 44만8933건 ▲삼성카드는 2016년 3월부터 2017년 8월 사이 소멸시효가 완성된 개인신용정보 27만3464건과 채권이 매각된 개인신용정보 918만1855건 ▲하나카드는 2016년 3월부터 2017년 7월 사이 상거래관계가 종료된 개인신용정보 2384만7794건을 각각 삭제하지 않았다. 상거래관계 종료는 주로 소멸시효 완성, 계약기간 만료, 채권 매각 등이 이뤄졌을 때를 말한다.
'신용정보의 이용 및 보호에 관한 법률'(제20조의2 제2항)에 어긋난 일이다. 신용정보법에 따르면 상거래관계가 종료된 날로부터 5년 이내 신용정보주체의 개인정보를 관리대상에서 지워야 한다. 다만 정보 수집·제공 등의 목적이 상거래관계 종료된 날부터 5년 전 달성된 경우는 목적이 달성된 날부터 3개월 이내 개인신용정보를 지워야한다. 마케팅을 위해 따로 관리하는 개인신용정보가 대표적이다. 또 개인신용정보는 상거래관계 종료 후 5년 안이면 언제든 지워도 되나, 다른 법률에서 보존을 요구하면 5년이 지나도 삭제하지 않아도 된다.
신용정보법 제20조2 제2항을 어길 시 금융회사에 부과되는 과태료는 최고 3000만원이다. 카드사 3곳은 당시 2700만원에서 2880만원으로 꽤 많은 과태료를 부과받았다. 또 직원들에도 주의 조치가 내려졌다.
◆ '개인정보 보호 가이드라인' 맞춰 재정비
개인신용정보는 살아있는 개인의 신용도와 신용거래능력을 판단할 때 필요한 정보다. 신용정보주체의 ▲대출, 담보제공, 신용카드 등 거래내용을 판단할 수 있는 정보 ▲상거래 관련 연체, 부도 등 신용도를 판단할 수 있는 정보 ▲재산, 납세실적 등 신용거래 능력을 판단할 수 있는 정보 ▲법원의 심판·결정정보, 조세나 공공요금의 체납정보 등 신용등급에 영향을 주는 정보가 개인신용정보라고 할 수 있다. 여기에다 ▲성명, 주소, 주민등록번호 등 특정 신용정보주체를 식별할 수 있는 정보도 위 4가지 정보 중 1가지와 결합되면 개인신용정보로 인정받는다. 예컨대 성명만 처리하면 개인정보이고, 성명과 거래금액을 함께 처리해야 개인신용정보다.
국내에서 개인(신용)정보 보호에 대한 관심이 본격화된 것은 2014년 신용카드사 3곳(KB·농협·롯데)의 고객정보 유출 사건 이후다. 1억400만건의 고객정보가 유출돼 사회에 충격을 줬다. 사건 발발 두 달 후 정부는 '금융분야 개인정보유출 재발방지 종합대책'을 내놓았다. 수집하는 고객정보를 최소화하고, 필요한 기간만 보관 후 파기하는 것이 골자였다. 이처럼 법, 제도가 재정비됨에 따라 금융당국은 2016년 말 '금융분야 개인정보보호 가이드라인'도 보다 촘촘하게 개정했다. 금융회사가 개인(신용)정보를 수집하는 것부터 이용, 제3자 제공, 위탁, 보관, 삭제·파기하는 것까지 바뀐 단계별 업무 처리기준을 명시해놓은 문건이다.
이중 삭제 단계에선 상거래관계가 종료된 개인신용정보를 두 단계에 걸쳐 삭제하도록 했다. 금융회사는 상거래관계가 종료된 개인신용정보를, 3개월 내 상거래관계가 종료되지 않은 개인신용정보와 따로 보관하고, 개인신용정보 중 필수가 아닌 내용은 모두 지워야한다. 필수적이라는 기준은 개인신용정보가 재화나 서비스에 직접 관련돼 있는지, 개인신용정보가 없으면 상거래관계가 설정·유지되지 않는지 등이다. 즉, 금융회사는 상거래관계 종료 후 3개월 이내 불필요한 개인신용정보(예컨대 마케팅용)를 한 차례 지우고, 5년 이내 필수 정보도 모두 지워야한다는 얘기다.
"카드사 고객정보 유출 사건이 발생하기 전까진 법에 '개인신용정보를 지워야한다'는 내용 자체가 없었어요.(제20조2 제2항 개인신용정보의 보유기간 등, 2016년 3월 시행) 3개월, 5년 시점에 금융회사가 개인신용정보를 지워야한다는 조항이 만들어진 건 '금융분야 개인정보유출 재발방지 종합대책'의 일환이었죠."(금감원 관계자)
이 가이드라인에 따라 문제됐던 카드사들도 개인신용정보 관리시스템을 재정비했다. 삼성카드 관계자는 "문제를 지적받은 직후 개인신용정보는 삭제했다"며 "개인신용정보를 처리하는 기준도 상거래관계 종료 후 바로바로 삭제하는 것으로 바꿨다. 이후 더 이상 문제되는 것은 없었다"고 전했다. 하나카드 관계자도 "당국에서 제시한 개인정보보호 가이드라인에 맞춰 상거래관계 종료 후 분리망에 필수적인 개인신용정보를 보관하다가 5년 내 삭제를 하는 것으로 바꿨다"고 설명했다.
[Tip!] 개인신용정보, 안 지워도 되는 때는
1. 다른 법률에 따른 의무를 이행하기 위해 불가피한 경우
2. 개인의 급박한 생명·신체·재산의 이익을 위해 필요하다고 인정되는 경우
3. 휴면예금(휴면예금관리재단의 설립 등에 관한 법률 제2조제3호)의 지급을 위해 필요한 경우
4. 대출사기, 보험사기, 거짓이나 부정한 방법으로 알아낸 타인의 신용카드 정보를 이용한 거래, 그 밖에 건전한 신용질서를 저해하는 행위를 방지하기 위해 그 행위와 관련된 신용정보주체의 개인신용정보가 필요한 경우
5. 위험관리체제의 구축과 신용평가모형 및 위험관리모형의 개발을 위해 필요한 경우(비식별 조건)
6. 신용정보제공·이용자 또는 제3자의 정당한 이익을 달성하기 위해 필요한 경우(정당한 이익, 합리적인 범위)
7. 신용정보주체가 개인신용정보 삭제 전 삭제를 원하지 아니한다는 의사를 명백히 표시한 경우
milpark@newspim.com