금감원 조치요구까지 최장 20개월 소요
금융감독원 등 금융당국과 해당 금융기관은 개인정보 유출 사실을 최장 2년 가까이 모르고 있거나, 이를 알고나서도 금융당국의 검사후 조치요구까지 최장 20개월이 걸리는 늑장대처를 해 온 것으로 드러났다.
21일 국회 정무위원회 조원진 의원(새누리당·대구 달서병)이 금융감독원으로부터 제출받은 ‘최근 5년간 개인정보 유출사고 발생현황’에 따르면 2009년 이후 5년간 이번 카드 3사를 포함해 총 19개 금융사에서 개인정보 유출사고가 발생했다. 사고 내용을 보면 홈페이지나 테스트용 웹서버에 대한 해킹은 물론 고객 개인정보의 목적외 유출, 프로그램 오류에 의한 개인주문 체결내역 노출 등 전방위적 유출이 있었다.
특히 이번 카드3사를 제외하고도 16개 금융사에서 236만건에 달하는 개인정보 유출사고가 발생한 것으로 나타났다.
또 개인정보 유출 금융사에 대한 금감원 검사는 유출시점부터 길게는 2년, 평균 1년 정도가 지나서 외부 수사기관 통보 등에 의해 시작된 것으로 나타나 금융사는 ‘쉬쉬’하고, 금감원은 ‘까막눈’이 되는 구태를 벗지 못했다.
게다가 금융당국의 검사 이후 조치까지 걸리는 시간도 20개월 정도에 이르는 늑장행정이 이뤄져 온 것으로 확인돼 2010년부터 문제점으로 지적된 신용정보 보호대책 수립 및 운용 소홀이 여전한 상태였다.
때문에 이번 카드3사의 대규모 개인정보 유출도 금융사와 금융당국의 안이함을 고스란히 보여주고, 수많은 시행착오에도 불구 ‘소 잃고 외양간조차 고치지 못했다’는 지적과 함께 외부 도움없이 유출 사실조차 모르는 지금 이 순간에도 드러나지 않은 개인정보 유출이 상당할 것으로 추정된다.
조 의원은 “개인정보 유출보다 더 큰 문제는 유출 사실조차 모르고 있다는 점이다. 금융기관의 개인정보 유출에 대한 뒤늦은 인지와 금융당국의 미숙하고 미온적 대처가 결국 대형사고를 불러왔다”면서 “서둘러 개인정보 유출에 대한 조기경보 시스템을 구축하고, 개인정보 보호를 위한 법령 정비에 나서야 한다”고 촉구했다.
강선일기자 ksi@idaegu.co.kr