요즘 국민들의 가장 큰 관심사는 신용정보 유출이다. 가장 큰 규모이기도 하고, 카드번호, 계좌번호, 거래실적, 신용등급 등 가장 민감한 정보가 어이없게도 한명에 의해 대출업자 등에게 판매되었다는 사실에 대하여 국민들이 격분하고 있다. 금융당국도 고강도의 대책을 내세우고 있으며, 법령개선도 불가피해 보인다.
다만 고강도 대책이라지만, 사실상 금융회사 아닌 기업들의 개인정보보호 준수사항에 비하면 그 수준이 높다고 할 수 없다. 금융당국의 대책은 정보통신망법이나 개인정보보호법에 이미 도입되어 있는 제도들이거나 다른 기업들은 당연히 그렇게 하고 있는 내용들이 대부분이다. 금융회사의 개선점을 지적한 금융당국의 대책을 보고, 오히려 기존에 금융회사들이 다른 기업들의 개인정보보호 수준에도 미치지 못하고 있었다는 점에 더 놀라게 된다.
이는, 금융회사는 신용정보보호법이나 전자금융거래법만 준수하면 되고 개인정보보호법이나 정보통신망법은 준수하지 않아도 된다고 보는 관행 때문이다. 예컨대 주민등록번호의 암호화는 개인정보보호법이 의무사항으로 규정하고 있지만 이번 사태에서 보듯이 주민등록번호는 암호화가 되어 있지 않았다. 물론 이는 '다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법에서 정하는 바에 따른다'라고 규정되어 있는 개인정보보호법 제6조에 비추어, 명백한 개인정보보호법 위반이다. 작년 7월 발간된 '금융분야 개인정보보호 가이드라인'도 이 점을 명확히 밝혔다.
금융당국은 개인정보 유출시 50억원 상한의 정액과징금 제도를 도입한다고 자랑스럽게 발표했지만, 방통위는 그보다 훨씬 제재를 강화하여, 개인정보유출시 인과관계를 입증하지 않고도 정액과징금 대신 관련매출액 1% 이하의 정률과징금을 부과할 수 있는 정보통신망법 개정을 시도하고 있다. 국민들은 금융회사가 가장 강력하게 개인정보보호를 할 것이라고 기대하고 있다. 이번 사태를 계기로 그 기대에 부응하는 금융회사와 금융당국의 뼈를 깎는 노력이 있어야 할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 1. 27.) 기고.