[금융in] 아, 삼성카드 왜 이래… 은행·카드사들 개인정보 허락없이 쓰고 ‘과태료’ 내면 그만?

[천지일보=김누리 기자] 최근 삼성카드가 금융당국으로부터 3억 2760만원 과태료 제재를 받았다. 고객들의 개인신용정보를 영리 목적 광고에 보내는 데 부당하게 활용한 사실이 드러났기 때문이다. 이는 삼성카드뿐 아니라 매년, 거의 한 달에 한 번꼴로 개인정보 부당이용 사례가 금융권에서 나오고 있다.

일각에서는 당국이 과태료 정도의 제재로 끝나다보니 금융사들이 반복해서 개인정보를 부당하게 이용하는 사례들이 속출하고 있다는 지적이 일고 있다. 이에 당국이 최고경영자(CEO)에게 강한 책임을 물도록 해야 한다는 목소리도 나온다.

금융당국에 따르면 지난 2일 금융감독원은 삼성카드에 과태료 3억 2760만원을 부과했다. 앱 서비스의 신규회원을 유치하기 위해 광고성 정보를 전송했는데, 이 중 마케팅 이용 목적과 이용 권유방법 등에 동의를 받지 않은 고객 485명의 개인신용정보를 이용, 836건의 문자를 전송한 것이 문제가 됐다.

아울러 이용 권유방법과 관련해서 문자메시지 방식에 동의하지 않은 2만 689명의 개인신용정보를 이용, 4만 739건의 광고성 메시지를 보낸 사실도 드러나 논란을 불러일으켰다.

신용정보의 이용 및 보호에 관한 법률 제33조와 제40조 등에 따르면 신용카드사는 신용정보 주체의 개인신용정보를 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용해야 한다. 또 신용정보 주체로부터 별도 동의를 받지 않고 개인신용정보를 영리목적의 광고성 정보 전송에 이용할 수 없다.

그러나 삼성카드는 이러한 조항을 어기고 고객의 개인신용정보를 영리목적의 광고성 정보 전송에 이용한 것이다.

이러한 문제가 삼성카드에서만 나온 것이 아니다. 지난달 5일 신한은행이 서울시 금고 운영권을 따내는 과정에서 887개 영업점이 2017년 1월~2019년 6월 고객 동의 없이 8598명에게 전화, 전자우편, 휴대전화 메시지 등 영리목적 광고 4만 301건 전송한 사실이 드러나 제재를 받았다.

25개 신한은행 영업점은 같은 기간 고객 동의 없이 232명의 개인신용정보를 이용, 광고 우편(DM)을 468건 보내기도 했다. 이에 대해 금감원은 이 기간 신한은행 신용정보관리·보호인이 실제 고객 작성 동의서 내용에 대한 점검을 소홀히 했다고 지적했다. 고객 동의서 스캔 검증시스템을 도입하고도 사후 관리, 적정성 점검을 제대로 하지 않아 오류가 있었다는 것이다.

KB국민은행에서도 이 같은 일이 발생했다. 지난 2월 13일 금감원은 고객의 개인신용정보를 광고 목적에 부당하게 사용한 국민은행에 제재를 가했다.

신용정보법에 따르면 은행은 신용정보 주체의 별도 동의 없이 개인신용정보를 영리목적의 광고성 정보를 전송하는 행위에 이용하지 못한다.

국민은행은 본점 포함 269개 영업점에서 광고성 정보 전송에 동의하지 않은 고객 4278명에게 광고성 정보를 전송했다. 광고성 정보 전송에 동의하지 않은 고객도 동의한 것으로 고객관리시스템에 잘못 입력했기 때문에 벌어진 일이었다.

이와 관련, 금감원은 신용정보 보안 대책 수립 단계서부터 부실했다고 지적했다. 신용정보법은 은행이 제3자가 신용정보전산시스템에 접근하지 못하도록 보안대책을 수립·시행하고 이를 위해 내부통제시스템을 구축해야 한다고 밝히고 있다.

그러나 국민은행은 개인신용정보 수집·이용동의 여부 입력의 전산화를 도입하지 않는 등 소홀히 함으로써 동의가 없었음에도 영리 목적의 광고성 정보 전송행위에 개인신용정보가 이용되는 결과가 초래됐다는 것이다.

아울러 신용정보를 제공하는 데 있어 규정을 다수 위반한 것도 적발됐다. 지난 2019년 3월 26일 6개 업체와 각각 CD(양도성예금증서)·ATM(현금자동입출금기) 서비스 제휴를 맺으면서 계약을 체결하지 않은 것과 함께, IT회사와 신용정보 위탁 도급계약을 하면서 업무 내용과 수탁자를 공시하지 않은 것이다.

이외에도 지난해 11월 현대카드가 2016년 3월 12일~11월 11일 상거래관계가 종료된 지 5년이 지난 고객 42명의 개인신용정보를 삭제하지 않은 것이 드러나는 등 혐의로 과태료 5040만원 제재를 받았다.

신용협동조합중앙회는 고객의 가족·친척·지인 등의 개인신용정보를 부당하게 조회한 사실이 드러나 ‘기관주의’와 과태료 6480만원 등의 제재를 받았다. 또 상거래관계가 종료된 고객의 중요서류 보전 기간인 10년이 지났음에도 삭제하지 않은 것도 드러났다. 결국 고객의 개인신용정보 관리를 소홀히 하면서 정보를 부당조회한 것이다.

하나금융은 지난해 7월 금융지주회사 등 간 고객의 개인정보제공절차를 지키지 않은 것이 드러나 2억 6000만원의 과태료를 처분받았다.

금융지주회사법 등에 따르면 금융지주회사는 고객의 동의 없이 개인신용정보 등을 요청하는 경우에는 고객정보의 이용목적, 정보요청 범위 및 이용기간 등에 대해 고객정보관리인의 승인을 받거나 분기별 1회 이상 고객정보관리인의 점검을 받아야 한다.

그러나 하나금융은 지난 2015년 1월부터 2018년 4월 사이 그룹 연결BIS자기자본비율 산출을 위해 6개 자회사로부터 14회에 걸쳐 개인차주의 주민등록번호 등 개인식별정보가 포함된 개인신용정보를 받으면서 고객정보관리인의 승인(4회) 또는 분기별 1회 이상 고객정보관리인의 점검(10회)을 받지 않았다.

2014년에는 1억건이 넘는 신용카드 고객정보 유출사건이 있었는데 당시 카드사 3곳이 고객정보를 제대로 보호하지 않은 혐의로 재판에 넘겨져 작년 최종 벌금형을 확정했다.

법원은 개인정보보호법 위반 등의 혐의로 기소된 농협은행과 KB국민카드에 벌금 1500만원, 롯데카드에 벌금 1000만원을 물었다. 이들 카드 3사는 2012년~2013년 신용정보회사 코리아크레딧뷰로(KCB)와 신용카드 부정사용 방지시스템(FDS) 모델링 개발용역 계약을 맺고 KCB의 직원 박모씨 등에게 개인정보를 암호화없이 주고, UBS 등을 통해 회사 밖으로 가지고 나갈 때에도 아무런 통제도 하지 않은 혐의를 받았다.

이러한 금융사들의 개인정보 부당이용과 관련해 전문가들은 무거운 제재로 다스려야 한다고 목소리를 높이고 있다.

금융감독원 선임국장 출신인 조성목 서민금융연구원장(한국FPSB 상근부회장)은 천지일보와의 전화인터뷰에서 “2014년 신용카드 정보유출 사태 이후 금융사들이 영업을 우선으로 하다 보니 신용정보보호법에 무뎌진 거 같다. 새로운 법을 만들어 시행하는 것도 중요하지만 금융소비자보호법(금소법) 시행과 더불어 개인신용 관리조차 느슨해지는 것은 문제가 있다”고 지적했다.

이어 “법인금융사의 경우 개인정보를 부당하게 사용해도 과태료만 물도록 하니 지키지 않아도 그만이라는 생각이 있는 것 같다”면서 이에 “당국은 지켜야 할 법에 대해 엄중하게 지키게 하고 CEO에게 책임을 강하게 물어야 한다”고 강조했다. 아울러 “위에서부터 교육이 제대로 되지 않으니 이런 일이 발생하는 것 아니겠는가”라며 당국이 CEO에게 더 엄중한 책임을 지도록 할 것을 주문했다.

김대종 세종대학교 경영학부 교수 역시 “금융기관에게 중요한 것은 신용정보인데, 이를 빼내서 영리목적으로 사용한 것은 정말 잘못된 것”이라며 “이는 고객의 신뢰를 잃기 때문에 고객이 떠나갈 뿐만 아니라 불신을 가져오게 된다”고 꼬집었다.

김 교수는 “금융사들의 개인정보 부당이용 반복은 과태료를 내는 것보다 고객의 개인신용정보를 영리목적으로 이용했을 때의 이익이 더 크기 때문”이라며 “절대 재발하지 않도록 책임 있는 정부 기관이 기관 차원의 중징계와 벌금 등 엄한 제재를 줘야 한다”고 밝혔다.

김성숙 계명대 소비자정보학과 교수는 “고객 개인정보 부당이용 사례들은 토 달 필요 없을 정도로 명백하게 문제가 있는 행위”라며 “이 수준의 것도 지켜지지 않는다는 것에 대해 안타깝게 생각한다”고 유감을 표했다.

이어 “사후적으로 과태료를 하도록 하는 것도 문제지만 정부에서 예방적인 활동도 필요하다고 생각한다”며 “금융사에서 이 같은 상황이 반복되고 있다는 점을 고려해 금융사 내의 신용정보 관리 체계를 점검할 필요가 있다고 생각한다”고 전했다.