- 금융회사 고객정보 유출 재발방지 대책 전문
금융위원장입니다.
먼저, 국민 여러분의 소중한 개인정보가 유출된 사고가 발생하여 심려와 불편을 끼쳐드린데 대단히 죄송하다는 말씀을 드립니다.
정부는 국민불안이 가중되고 있는 현 시점에서 무엇보다도 사회적 혼란을 조속히 수습하고 국민의 불안감과 불편함을 해소하는데 역량을 집중하고 있습니다.
아울러, 이와같은 사례가 향후에는 절대 발생하지 않도록하겠다는 점을 국민 앞에 엄숙히 약속드립니다.
주요내용을 설명드리겠습니다. 배포해 드린 자료 사고 개요와 경과입니다.
검찰은 3개 카드사의 개인정보 약 1억건이 외부 파견직원을 통해 외부에 유출되었으나, 불법수집자 및 최초유포자가 검거되었고 자료를 모두 압수하여 추가유통은 없는 것으로 확인되었습니다.
금감원이 원본자료를 넘겨받아 확인한 결과 카드사 고객뿐 아니라 은행고객 정보 및 탈회고객 정보도 포함되어 있습니다.
유출정보에는 성명 등 개인정보와 함께 연소득과 같은 신용정보도 포함되어 있으나 핵심정보라고 할 수 있는 비밀번호와 본인인증코드는 포함되어 있지 않았습니다.
그동안 상황점검, 대책마련 등 조기대응 노력을 하였으나 유출건수가 워낙 대량이고 전 고객에게 통지하는 과정에서 국민불안감이 증폭되었습니다.
당초 유출되었던 개인정보가 전량 회수되어 시중에 유통되지 않았으므로 피해가능성은 전혀없다는 점을 분명히 말씀드립니다.
그 이유로는 첫째, 수사당국이 그동안 수차례 개인정보의 추가유통은 없었다고 밝혔습니다.
이에 대해서는 법무부 차관이 제 브리핑 이후 보완하여 상세하게 말씀드릴 것입니다.
둘째, 카드정보 유출사고 발생 이후 1년이 지났음에도 현재까지 금번 유출사고에 따른 피해가 확인된 경우는 단 한건도 없습니다.
최근 사태가 불거진 이후에도 단 1건의 피해사례도 발생하지 않았습니다.
셋째, 금감원 조사결과 비밀번호, CVC 등 중요정보는 포함되지 않아서 카드 위변조에 따른 부정사용은 불가능합니다.
따라서, 국민들께서는 불안해하실 필요가 없습니다. 다시 한 번 말씀드리지만 이번 정보유출로 인한 부정사용 피해는 전혀 없습니다.
이와 더불어 이번 사고와 관련은 없지만 국민들께서 카드를 안심하고 사용할 수 있도록 보완대책도 함께 시행하겠습니다.
카드 부정사용에 따른 고객피해가 발생하면 무조건 카드사에서 전액보상토록 하겠습니다.
아울러 국민 여러분 편의를 위해 사용 내역을 실시간으로 확인할 수 있도록 하겠습니다.
카드번호와 유효기간만으로도 결제가 가능한 일부 가맹점에 대해서도 확인전화 등 추가적인 본인확인 수단을 도입하겠습니다.
국민불안감을 악용한 금융사기에는 강력하게 대응하여 원천 봉쇄할 것입니다.
현재 300만원 이하 거래에 적용되던 전자금융사기 예방서비스 적용범위를 한시적으로 100만원 이상 거래까지 확대 적용하겠습니다.
미래부 등 관계부처와 협의하여 스미싱 등 전자금융사기 대응시스템을 확실하게 구축하는 한편, 사기나 범죄에 이용된 사이트와 전화번호는 즉각 차단하도록 하겠습니다.
이러한 점을 보다 착실히 이행하기 위해 카드사와 금감원에 설치된「피해유출신고센터」를 24시간 운영토록 하겠습니다.
국민 여러분께서 불편을 느끼시는 일이 없도록 전력을 다하겠습니다.
카드회원이 기다리시는 일이 없도록 업무시간을 밤늦게까지 연장하고 주말에도 업무처리를 하는 등 비상근무 체제를 가동하고 카드사는 물론 이번 사건과 관련된 관계회사의 모든 인력을 영업점에 투입하는 한이 있더라도 국민여러분의 민원을 신속히 처리하도록 하겠습니다.
국민여러분께서 전화문의를 하실 때 끊어지거나 대기하는 일이 발생하지 않도록 콜센터 직원과 통신회선도 대폭 확충해나가겠습니다.
홈페이지 정보유출 조회시스템에서 카드 재발급을 처리하는 화면으로 바로 연결되도록 하고, 컴퓨터 서버를 증설하고 인터넷 회선도 확대하고 있습니다.
실물카드 제작공장이나 카드배송 업체도 확대하여 카드 교체를 원하시는 분들이 빨리 카드를 받으실 수 있도록 하겠습니다.
사고원인을 철저히 점검하고 관련책임자는 엄중문책토록 하겠습니다.
금번 사건은 기본적인 보안절차만 준수하였다면 충분히 막을 수 있는 전형적인 인재(人災) 사고입니다.
결국 사람의 문제라고 할 수 있습니다.
같은 상황에 있었던 다른 카드회사는 보안규정을 잘 준수하였고 이와 같은 정보유출 사고가 발생하지 않았습니다.
정보유출사고가 발생한 해당카드사에 대해서는 관련법령상 가능한 최고수준의 제재를 2월중 부과하도록 하고, 임직원에 대하여 확실한 책임을 물을 것입니다.
앞으로 이러한 사고가 재발하면 그 회사와 관련자는 문을 닫고 금융업에 다시는 종사하지 못하도록 확실한 조치를 취할 것입니다.
정보유출사고 수습을 위해 체계적인 대응을 해 나가겠습니다.
카드사 정보유출 사고대응 상황반을 24시간 운영하고 개인정보를 불법수집·유통하는 행위에 대해서는 집중단속하겠습니다.
또한, 국민여러분께서 불안해하시지 않도록 정확한 정보를 제공하고 널리 홍보하겠습니다.
개인정보 유출사고와 관련하여 국민께서 쉽게 이해하실 수 있는 대응매뉴얼과 핵심 Q&A를 카드회사 등 주요 홈페이지에 게재하고 있습니다.
재발방지방안입니다.
기본방향을 말씀드리면, 금융회사는 ‘필요최소한’의 개인정보만 보유하도록 하여 정보유출시 발생할 수 있는 피해를 최소화하겠습니다.
금융회사가 정보를 수집하고 보관하는 방식도 소비자 관점에서 대폭 개선하겠습니다.
불법적인 정보가 거래되지 않도록 근본원인을 제거하고, 정보보호관련 금융회사와 임원의 관리책임을 강화하겠습니다.
정보유출관련 행정제재와 형벌을 대폭 강화하고 징벌적 과징금제도도 도입하겠습니다.
금융회사 보유정보의 적정성을 검토하고 안전성을 확보하겠습니다.
현행 금융회사의 정보보유 실태를 전면 점검하여 꼭 필요한 정보만 수집·보관하도록 추진하겠습니다.
마케팅 목적의 정보수집과 활용은 원칙적으로 제한토록 하겠습니다.
정보보유 기간도 합리적으로 축소하겠습니다.
금융회사의 개인신용정보 보유기간은 거래종료일로부터 5년으로 제한하겠습니다.
거래가 종료된 고객의 정보도 보호하겠습니다.
거래종료고객 정보는 별도로 분리하여 보관·관리토록 하고, 마케팅 목적의 활용은 엄격히 제한하겠습니다.
계열사간 정보공유제도도 개선하겠습니다.
금융지주법상 특례에 따른 정보활용은 엄격히 한정하고, 분사된 회사가 보관하고 있는 개인 신용정보는 별도로 분리할 예정입니다.
정보관리와 정보유통과정을 개선하겠습니다.
먼저, 개인신용정보보호 책임자의 권한과 책임을 대폭 강화하겠습니다.
일정규모 이상의 금융회사에 대해서는 신용정보 관리·보호인을 “임원”으로 임명토록하고, 중요사항은 CEO에게 정기보고토록 의무화하겠습니다.
내부통제제도를 개선하고 및 외주업체에 대한 관리를 강화하겠습니다.
금융회사가 자체적으로 보안이행하고 있는지 주기적으로 점검하고, 금감원 검사시 철저히 들여다 보겠습니다..
금융회사의 외주용역에 대해서는 CEO와 CISO의 사전승인?사후관리 절차를 명확히 하고, 노트북, USB 등 외부저장매체의 반입통제를 철저히 시행하겠습니다.
제3자에 대한 정보제공도 엄격하게 운용하겠습니다.
‘개인정보제공 동의서’ 작성시 포괄적 동의금지를 검토하겠습니다.
원칙적으로 정보제공대상 회사를 개별적으로 명시하는 경우에만 정보제공이 가능하도록 하겠습니다.
제공대상 정보도 관련 부가서비스 이용 등과 관련하여 필요한 정보로 한정하고, 제3자가 취득한 정보활용 기간은 당초 정보 활용 목적에 필요한 기간 이내로 제한하겠습니다.
불법유통 정보에 대한 수요를 차단해 나가겠습니다.
대출모집인 제도에 대해 전반적·심층적으로 검토하여 불법유통시장 자체를 없애 나가겠습니다.
해당 금융회사에 대해서도 불법유통 행위자에 준하는 무거운 책임을 묻겠습니다.
징벌적 과징금 제도를 새로 도입하는 방안을 추진하겠습니다.
개인정보를 유출하거나 활용하는 금융회사에 대해서 금전적인 제재수준이 대폭 상향되면 위법행위 사전예방기능이 매우 강화될 것으로 예상됩니다.
과태료 수준도 상향 조정하겠습니다
개인정보 유출에 대한 형벌수준도 대폭 강화하겠습니다.
신용정보법, 전자금융거래법에서 정보유출 관련 형벌수준을 금융 관련법 최고 수준으로 상향하겠습니다.
또한, 금융회사의 관리책임을 확보하기 위해 제재수준도 강화하겠습니다.
CEO를 포함한 임원에 대해서도 직접적 책임을 부과하여, 사고 발생시 행위자로 보아 엄격한 제재가 이뤄지도록 하고, 신용정보회사에 대해서도 영업정지 등 기관제재 방안을 도입하겠습니다.
향후 추진계획입니다.
금번 사고관련 안정화 방안은 즉시 실행에 착수하여 조기에 완료하고, 오늘 말씀드린 내용을 담은 재발방지 방안은 2월중 관계부처 합동 「금융회사 고객정보보호 정상화 T/F」에서 구체방안을 확정하겠습니다.
법률 개정이 불필요한 사항은 가능한 신속히 실행하여 1/4분기중 조치를 완료하고, 국회 계류법안을 활용할 수 있는 부분은 가급적 2월 임시국회에서 통과되도록 추진하겠습니다.
정보화·디지털 사회에서 개인정보보호가 허술한 국가는 절대로 금융선진국이 될 수 없습니다.
상대방의 실체를 직접 확인하는 대면거래와는 달리, 네트워크 기반 금융거래는 금융회사가 나의 개인정보를 철저히 보호해 줄 것이라는 “신뢰” 없이는 성립될 수 없기 때문입니다 .
금번 사고를 통해 금융회사의 개인정보보호관리체계, 즉 수집-유통-관리-보관-파기 등 처음부터 끝까지 철저히 정비하고 다시는 이런 일이 나타나지 않도록 하겠습니다.
더 나아가 우리 금융시스템의 안정성과 신뢰성을 한단계 높일 수 있는 계기로 삼겠습니다.
다시 한번, 개인정보 유출사고로 국민여러분께 많은 심려를 끼친데 머리숙여 사과를 드립니다.
이상 브리핑을 마치겠습니다. 감사합니다.