안전한 금융거래와 개인정보보호 | click 경제교육

클릭경제교육(종간)

안전한 금융거래와 개인정보보호

김민섭 한국인터넷진흥원 연구조정실 책임연구원 2014.04.29

22-23.pdf

지난 1월 국내 신용카드회사 세 곳에서 1억 건이 넘는 고객 개인정보가 유출된 사건이 발생했다. 과거에도 개인정보 유출사고는 종종 있어왔지만, 이번 사고는 유출된 개인정보 건수가 전례 없이 대량이었고 유출 사고가 발생한 신용카드 회사들도 하나같이 고객 신뢰를 얻고 있던 대표적 금융회사라는 점에서 사회적 파장이 매우 크다.

| 금융에서의 개인정보의 의미
상대방을 식별하고, 신용거래 능력을 판단하기 위한
가장 기초적인 매개체

사전에서 ‘금융’의 의미를 찾아보면 금전의 수요와 공급에 관한 활동, 원금 반환과 이자지급을 목적으로 자금을 융통하는 활동 등으로 설명하고 있다. 즉, 금융 활동은 거래 상대방을 ‘믿고’ 자금을 융통하는 행위이며, 이를 우리는 ‘신용(信用)’이라고 부른다. 그런데 상대방을 신용하려면 우선 그 상대방이 어디 사는 누구인지를 식별 · 확인해야 하고, 다음으로 그 상대방이 과연 안전하고 신뢰할 수 있는가를 살펴보아야 한다. 이처럼 금융거래 상대방을 식별하고 신용도와 신용거래 능력을 판단하기 위한 정보가 금융 분야에서의 ‘개인정보’이다. 따라서 개인정보는 금융거래 활동이 원활히 이루어지기 위한 가장 기초적인 매개체라 할 수 있다.

많은 사람들은 은행에 자신의 자금을 예치하고 신용카드를 발급받아서 물품이나 서비스를 구매한다. 이는 자신의 소중한 자금이 금융회사에서 안전하게 보호되고 있고, 특히 인터넷 뱅킹과 같이 비대면 전자금융거래도 안전하다는 믿음이 전제되어 있기 때문이다.

그런데 만약 금융회사 고객의 개인정보가 외부로 유출되어 악용된다면, 사람들은 금융거래에 대해 전혀 신뢰를 할 수 없게 된다. 유출된 개인정보가 다시 텔레마케팅 및 피싱 같은 금융 사기 등에 이용될 가능성도 있는 지금, 금융 분야에서의 개인정보 보호는 우리 사회의 경제 활동이 정상적으로 이루어지기 위한 필수 불가결한 요건이라 할 수 있다.

| 개인정보 유출 재발방지 대책
꼭 필요한 최소 정보만 수집
미국, 개인정보 유출, 1,500만 달러 벌금 부과

최근 일련의 개인정보 유출사고를 계기로, 2014년 3월 우리나라 금융 당국에서는 개인정보 유출 재발방지를 위한 종합대책을 발표하였다. 주요 내용을 살펴보면, 첫 번째로 금융회사들은 영업에 꼭 필요하지 않음에도 불구하고 과다한 개인정보를 수집 · 보유하는 관행이 있어 왔는데(일반적으로 20여 개, 많을 경우 50여 개 항목), 앞으로는 금융거래 계약체결에 필수적인 정보와 선택 가능한 정보를 구분하고. ‘꼭 필요한 최소한의 정보’만 수집하도록 할 예정이다.

두 번째로, 여러 개인정보 항목 중에서 특히 주민등록번호는 공공 및 민간분야에서 매우 폭넓게 쓰이는 식별정보이기 때문에 더욱 엄격한 관리가 요구된다. 금융회사는 최초 거래 시에만 주민등록번호를 수집해야 하고, 컴퓨터에 보관할 때에는 반드시 암호화해야 한다.

세 번째로, 금융회사가 개인정보를 외부의 제3자에게 제공할 때에도 필수사항과 선택사항을 구분하여 각각 별도로 동의를 받고, 제공받는 업체명 등도 구체적으로 명시하도록 개선된다. 그동안 개인정보 제공에 하나라도 동의하지 않으면 아예 금융거래 자체가 거부되는 일이 종종 있어왔는데 앞으로는 이런 불합리한 관행이 사라질 것으로 기대된다. 불법유통 개인정보를 활용하는 대출모집인이나 보험설계사 등에 대해서는 즉시 계약을 해지하고 재등록을 제한하는 조치도 도입될 예정이다.

주요 선진국에서는 금융 분야를 비롯하여 각종 개인정보 유출 사고에 대해 매우 엄격히 대응하는 모습을 볼 수 있다. 대표적인 사례로 2005년도에 미국의 한 신용정보 회사가 해킹을 당하여 약 16만 명의 고객 개인정보가 유출된 적이 있는데, 미국 연방거래위원회(FTC)는 보안 소홀에 대한 책임을 물어 무려 1,500만 달러라는 거액의 벌금을 부과함으로써 개인정보보호 인식에 대해 경종을 울린 바 있다.

| 개인정보 유출, 2차 피해 예방조치
개인정보 보호법, 유출 항목 등 고객 통지 규정
비밀번호, 백신 프로그램 주기적으로 점검

만약 금융회사에서 개인정보 유출사고가 발생하였다면, 자신이 이용하는 금융회사에서 개인정보가 유출되었는지 여부를 홈페이지 등에서 확인한다. 개인정보보호법은 만약 유출 사고가 발생한 경우, 유출 항목과 유출 경위 등을 지체 없이 고객들에게 통지할 것을 규정하고 있다. 본인 개인정보가 유출되었다면 인터넷에서 사용하는 비밀번호와 공인인증서 비밀번호를 즉시 변경하는 것이 좋다. 유출된 개인정보를 악용하는 각종 금융 사기에도 각별한 주의를 기울여야 한다. 특히, 금융회사나 공공기관을 자칭하면서 계좌 비밀번호나 보안카드 전체 입력 등을 요구하는 것은 절대 응해서는 안 된다. 출처가 불분명한 인터넷 주소로 클릭을 유도하는 이메일이나 문자메시지도 100% 금융사기로 보면 된다.

평소 사용하는 컴퓨터의 백신프로그램을 최신 상태로 유지하고 주기적으로 점검하는 것도 필수적이다. 금융사기로 실제 금액을 인출당했다면 즉시 경찰청(112), 금융감독원(1332) 또는 각 금융회사의 콜센터 등에 지급 정지와 도움을 요청한다.

오늘날 개인정보는 금융 분야를 비롯하여 사회 전체에서 폭넓게 쓰일 수밖에 없으며, 빈번히 발생하는 유출 사고 앞에서 누가 내 개인정보를 지켜주는 것도 아니다. 자기 자신의 개인정보는 스스로 지킨다는 인식이 무엇보다 필요한 시점이다.

김민섭 한국인터넷진흥원 연구조정실 책임연구원
mskim@kisa.or.kr