이재남/고려대 교수·경영학

“참으로 어처구니가 없다!”

대다수 국민이 이번 KB국민, 롯데, NH농협 3개 신용카드사의 최악의 개인 정보 유출 사건을 보면서 느끼는 감정이 아닐까. 지금까지 확인된 개인 정보 유출 규모는 모두 1억500만 건이다. 그 피해자는 전국 카드 보유자 2000만 명의 85%에 해당하는 1700여만 명으로 추산된다. 또한, 유출된 정보에는 이름, 주민번호, 카드번호, 결제계좌, 직장, 거주지, 신용등급 등 최대 19개의 개인 신상정보가 포함돼 있다.

기존의 개인 정보 유출이 인터넷 해킹을 통한 기술적인 문제였던 반면 이번 사태는 KCB 직원이 이동식 저장장치(USB)로 카드사들의 고객 정보를 외부로 반출한 인재(人災)라는 데 사태의 심각성이 있다. 금융 당국은 이번에 유출된 정보가 개인들의 단순 정보이고, 유효성 검사코드(CVC 번호), 결제계좌 비밀번호 등 중요 정보는 유출되지 않아서 2차 피해가 없을 것이라고 한다. 하지만 단순 개인 정보만으로도 보이스피싱, 스미싱의 대출 사기가 언제든 가능하며, CVC 번호 없이도 신용카드 결제가 얼마든 가능한 게 우리의 현실 아닌가.

뒤늦게 심각성을 깨달은 해당 금융사의 경영진들이 책임을 지고 줄줄이 사퇴하고, 2차 피해가 발생하면 그때 손해액을 보상하겠다고 한다. 또 금융 당국은 금융사들의 내부 직원 통제 강화, 계열사 간의 고객정보 공유 제한 등의 내용을 포함한 금융사 개인 정보보안 종합 대책을 준비하고 있다. 정부도 징벌적 과징금 부과 등을 검토하고 있는 상황이다. 하지만 대증요법식 단기 대응책은 무의미하다.

개인 정보의 중요성에 대한 사회 전반에 걸친 교감 형성과 정부, 금융 당국, 금융사들의 역할 및 책임을 모두 포함하는 총체적인 개인 정보보안 시스템을 구축해야 한다. 정보화 사회에서 디지털 사회로 진화하면서 기업 간 경쟁이 심해지고 기업들은 경쟁 우위를 유지하기 위해 무차별적인 개인 정보의 수집과 활용에 초점을 두고 있다. 고객들에게 개인 정보 동의에 체크하도록 하고 그룹 내 관련 자회사들과 고객 정보를 공유하는 기업들의 편의주의적 발상은 근절돼야 한다.

더욱이 기업들이 정보보안을 기술적인 관점으로만 이해하고 비용의 효율성만을 추구하는 것도 문제의 심각성을 더하고 있다. 대다수의 기업이 정보보안 기능을 전문성이 낮은 외부 업체에 아웃소싱하고 내부 관리를 소홀히하는 것도 이런 이유 때문이다. 정보보안을 기술적으로 해결하는 데는 한계가 있다. 따라서 체계적인 관리 절차 수립과 지속적인 교육을 통해 보다 효과적으로 관리해야 한다.

금융 당국과 정부 또한 이번 사고(事故)의 책임을 피해 갈 수는 없다. 금융 당국은 경제성장을 앞세워 개인과 기업의 분쟁에서 더 이상 기업의 손을 들어줘선 안된다. 기업들의 무차별적인 개인 정보 활용은 어떤 식으로든 처벌해야 한다. 또한 현행 전자금융거래법에 따르면 개인 정보 유출에 대한 과징금은 최고 1000만 원에 불과하다. 반면 외국의 경우 개인 정보가 유출되면 적게는 수억 원에서 많게는 수조 원에 이르는 벌금을 물어야 하고 해당 기업은 망할 수도 있다는 인식이 자연스럽다.

이번 사태로 추진되고 있는 징벌적 과징금 제도의 실효성을 높이기 위해서는 외국처럼 실질적인 처벌과 징계수위가 반드시 반영돼야 한다. 더욱 중요한 것은 금융 당국과 정부 차원의 체계적인 관리 감독과 지속적인 제도 개선이다. 기업과 마찬가지로 금융 당국도 예산을 확충, 턱없이 부족한 정보보안 전문인력을 확보하고 지속적인 교육을 통해 그들의 기술 역량을 증진시켜 나가야 한다. 이를 바탕으로 금융기업들과의 효율적인 의사소통, 체계적인 관리 감독을 할 수 있도록 협력 체제를 갖춰야 한다.