금감원 "금융회사 업무태만, 카드사 정보유출 야기"…임영록 회장 징계 변수

지난해 말 국민·롯데카드와 농협은행 등에서 대량의 개인정보가 유출된 사건은 금융당국의 안일한 업무 태도와 개인정보보호에 대한 미온적 인식이 원인이라고 감사원이 28일 밝혔다.

이에, 감사원은 지난 1∼2월 금융위원회와 금융감독원 등을 상대로 벌인 '금융회사 개인정보 유출관련 검사·감독 실태' 감사결과를 28일 공개하고, 문제를 발견하고서도 검사업무를 태만히 해 대규모 정보유출의 단초를 제공한 금감원 직원 2명에 대해 징계를 요구했다고 밝혔다.

감사원에 따르면 금감원은 지난 2012년 6∼7월 농협이 신용카드 부정방지사용 시스템(FDS) 개발을 외부업체인 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다.

금감원은 미변환 정보제공에 대한 문제점을 검사하지 않은데다, 보안프로그램 설치에 대해서도 전체 컴퓨터 중 1대만 점검하고서 모두 설치됐다고 판단한 것으로 확인됐다.

KCB의 박모 차장은 이로 인해 금감원의 종합검사가 진행 중이던 2012년 6월부터 그해 12월까지 모두 2천427만건의 개인정보를 빼냈다고 감사원은 밝혔다.

금감원은 지난해 6∼7월 롯데카드 종합검사 당시에도 미변환 개인정보 저장·활용 문제와 관련해 '검사인력 및 기간 부족'을 이유로 날림 검사를 하고서도 아무 문제가 없다고 판단한 것으로 확인됐다.

결국 KCB의 박모 차장은 USB같은 보조기억매체의 접근을 통제하는 프로그램이 설치되지 않은 컴퓨터를 이용, 지난해 12월 롯데카드에서 1천967만건의 개인정보를 유출할 수 있었다고 감사원은 지적했다.

금감원의 이런 안일한 업무처리로 IBK·현대 캐피탈에서도 해킹 등으로 개인정보가 유출돼 농협은행, 롯데카드, 현대·IBK캐피탈에서만 2011년 3월부터 지난해 12월까지 4천569만건의 개인정보가 유출됐다고 감사원은 밝혔다.

금융위는 금융회사의 개인정보 제공과 관련해 개선안 마련에 늑장을 부리거나 개선안을 마련하고서도 제대로 지도·감독 하지 못해 사태를 방지하지 못한 것으로 드러났다.

금융위는 또 지난 2011년 개인정보 자기결정권을 보장하는 내용의 법이 제정됐지만 관련 내용을 제대로 반영하지 않고 있다가 카드3사의 정보유출 사태가 발생하자 뒤늦게 규정을 개정했다.

뿐만 아니라 금융위는 지난 2012년 62개 금융회사를 대상으로 '금융권 개인정보 수집ㆍ이용실태 종합점검'을 하면서 과도한 개인정보 수집 등 문제점을 파악, 개선방안을 수립했지만 이를 제대로 지도·감독하지 않았다.

때문에 국민카드, 농협은행, 롯데카드의 경우 거래관계가 끝나 파기·별도보관 대상으로 분류해야 할 정보 2천649만건이 유출되게 됐다고 감사원은 밝혔다.

이에, 헌법기관이자 상급기관인 감사원이 금융당국의 유권해석에 제동을 걸고 나섬에 따라 임영록 KB금융지주 회장에 대한 제재에도 변화가 불가피할 것으로 보인다. 임회장의 또다른 중징계 사유였던 주 전산기 교체를 둘러싼 관련한 내부 통제 부실에 대해서도 문책경고가 과도하다는 비판이 일각에서 제기되는 상황이다.

금융권 일부에서는 "감사원이 개인정보 유출에 대해 사실상 임 회장에 대해 책임을 물을 수 없다는 해석을 내려 금융당국의 제재 근거는 약해질 수밖에 없다"는 목소리가 나온다.

금융당국은 감사원의 감사결과를 '수용하겠다'는 입장이면서도 임 회장에 대한 중징계 방침에는 변화가 없을 것이라는 점을 분명히 했다.

또 다른 관계자는 "유권해석을 앞으로도 적용해서는 안 된다는 의견은 수용하기 어렵지만, 유권해석을 근거로 과거 행위에 대한 제재 근거로 삼는 것이 문제였다는 주장은 최대한 수용하겠다"고 밝혔다.