대안 없다며 주민번호 수집 허용… 핵심 빠진 미봉책

정부, 개인정보 보호 종합대책 발표

정부가 10일 내놓은 ‘개인정보 보호 종합대책’에는 금융사가 꼭 필요한 최소한의 개인정보만 수집하도록 허용하고 고객이 원하면 즉각 해당 정보를 폐기하도록 해 고객의 개인정보 결정권을 보장하는 내용이 담겼다.

하지만 주민등록번호 대체 방안 등 근본 해법이 빠져 개인정보 유출과 2차 피해를 막기에는 역부족이라는 지적이 나온다. 개인정보 암호화, 전산망 분리 등 지난해부터 추진했던 방안들이 대책에 재차 거론돼 ‘재탕’이라는 비판도 나왔다.

○ 자기정보 결정권과 금융사 책임 강화

정부는 이번 대책에 고객의 자기 정보 권리를 강화하는 방안에 초점을 맞췄다. 금융사가 고객에게 정보 이용에 대한 요식적인 동의를 받고 개인정보를 마음대로 사용하는 관행을 고치겠다는 것이다. 신제윤 금융위원장은 “금융사 고객들이 본인 정보가 어떻게 활용되는지를 한눈에 파악하고 활용 여부를 스스로 결정할 수 있도록 하겠다”고 말했다.

수집 정보도 제한된다. 올 하반기부터 금융사는 고객과 처음 거래할 때만 주민번호를 요구할 수 있다. 또 이름, 주민번호 등 6∼10개의 필수정보와 고객 동의를 거친 선택정보만 수집이 가능하다. 거래 종료 후 5년이 지나면 원칙적으로 모든 정보를 폐기해야 한다. 각 금융사나 금융 관련 협회에 ‘정보 수신 거부’를 신청하면 영업 목적의 전화가 걸려오지 않는다.

정보제공 동의서 양식도 바뀐다. 필수 정보를 제외한 선택 정보 제공에 동의하지 않아도 금융사는 거래를 거부할 수 없다. 금융사의 최고정보보호책임자(CISO)는 매월 보안점검을 실시해 최고경영자(CEO)에게 보고하고, 금융감독원은 금융사로부터 이 결과를 보고받는다. 정보를 유출한 금융사에 대한 과징금은 현행 최대 600만 원에서 50억 원으로 높아진다.

징벌적 손해배상제, 집단소송제 등을 도입하는 방안도 검토된다. 현오석 부총리 겸 기획재정부 장관은 “기존 법체계 등과 균형이 맞는지 살펴봐야 한다”는 전제를 달면서 검토 중이라고 밝혔다. 다만 집단소송제와 관련해 손해배상은 당사자가 소송을 내야 가능하다는 게 현행 민법의 기본 원칙인 데다 징벌적 손해배상제는 업계 부담이 워낙 커 정부가 ‘장기 과제’로 넘길 것이라는 견해가 있다.

○ 주민번호 암호화는 2016년 이후로 유예

금융당국은 “금융거래에 쓸 마땅한 대안이 없다”며 주민번호 수집을 허용했다. 대신 고객이 주민번호를 입력할 때 전자단말기(키패드)로 직접 넣도록 해 번호 노출을 최소화했다.

하지만 주민번호 처리 방침은 빠져있어 주민번호 유출에 대한 국민의 불안을 잠재우기에는 역부족이라는 지적이 나온다. 임종인 고려대 정보보호대학원장은 “개인정보 보호의 핵심인 주민번호 처리 방침에 대한 언급이 전혀 없는 것은 문제가 있다”고 말했다.

개정된 개인정보보호법에 따라 2016년부터 주민번호를 저장할 때 암호화를 해야 하지만 금융사에는 예외가 적용될 것으로 보인다. 금융위 관계자는 “법정 시한까지 모든 금융사가 암호화를 완료하는 건 물리적으로 불가능하다”며 “금융사의 경우 암호화 적용 대상과 추진 일정을 마련해 단계적으로 시행할 것”이라고 말했다.

정임수 imsoo@donga.com·이상훈 기자