제재사례가 많은 신용정보법 이슈 점검 포인트 [김앤장 핀테크·가상자산 인사이트]

금융감독당국은 금융회사들에 대한 정기∙수시검사를 통해 금융회사들의 관계법규 준수 여부를 점검하고 위법행위에 제재를 부과하고 있다. 금융회사의 IT∙정보보호 관련 업무에 관하여는 종래에 전자금융거래법을 중심으로 검사가 이루어졌으나 최근에는 신용정보법에 대한 검사 및 제재사례가 증가하여 신용정보법 컴플라이언스에 대한 관심이 높아지고 있다. 그런데 금융감독당국이 공개하는 제재사례를 살펴보면 여러 금융회사들이 반복적으로 제재를 받는 이슈가 있음을 발견할 수 있다. 이하에서는 몇 가지 이슈들을 중심으로 신용정보법 컴플라이언스 포인트에 대해 짚어보고자 한다.

동의를 받지 아니한 광고성 정보 발송

광고성 정보 수신에 동의하지 아니한 고객에게 광고를 보내려는 금융회사는 찾기 어렵다. 그럼에도 불구하고 동의를 받지 아니한 고객에게 광고성 정보를 발송하여 제재를 받은 사례가 많은 이유 중 하나는 ‘동의한 고객’을 정의하는 것이 생각보다 어렵기 때문이다. 금융회사들이 보편적으로 사용하는 동의서는 고객이 (1) 광고성 정보 수신을 위한 개인정보 이용 동의 (2) 광고성 정보 수신 동의 (3) 광고성 정보를 수신할 매체(문자, 이메일, 전화 등) 선택 동의 등 적어도 3가지의 동의를 해야 광고를 보낼 수 있게 구성되어 있는 경우가 많다. 그런데 광고를 발송하기 위해 요구되는 3가지의 동의를 정확히 이해하지 못하다 보니, 마케팅 기획 부서는 막연히 ‘동의를 받은 고객을 추출해달라’고 요청하고 요청을 받은 IT 부서도 위 3가지 조건 중 일부를 누락한 채 고객군을 추출하는 바람에 동의를 받지 않은 고객에게 광고를 보내어 제재를 받는 사례가 발생한다. 광고성 정보를 받게 될 고객을 추출하는 조건이 표준화되어 있지 않고 개인의 재량에 맡겨진 까닭에 발생하는 문제이다.

금융회사가 보내는 메시지의 내용이 광고인지 여부에 대한 판단이 잘못되면 동의를 받지 않은 고객에게 광고성 정보를 발송하게 되므로 메시지의 내용에 대한 검토도 중요하다. 무엇이 광고인지는 유관기관의 가이드라인이나 FAQ가 여럿 발간되어 있으며 가이드라인에 따르면 안부인사, 계약갱신요청 메시지도 광고라고 명시하는 등 금융회사 임직원의 이해보다 광고의 범위가 넓을 수 있다. 금융회사가 보내는 메시지가 광고로 판단될 수 있는지는 법률적인 검토가 필요한 영역이라 할 수 있다. 자칫 광고 여부 판단이 잘못되어 동의를 받지 아니한 고객에게 의도치 않게 광고를 보낸 것으로 평가되는 상황을 피하기 위해서는 메시지를 발송하려면 컴플라이언스 부서가 광고가 아님을 검증한 표준 메시지 템플릿을 활용하게 하고 템플릿을 임의로 수정하여 메시지를 발송하지 못하게 차단하는 경우도 있다.

‘필요최소한의 고객정보 접근권한 부여’

고객정보에 대한 접근권한은 업무상 필요최소한으로 부여해야 한다는 신용정보법의 요구는 간단하지만 실제 이행하기는 쉽지 않다. 우선 필요최소한의 접근권한인지에 대한 판단을 어느 부서에서 해야 하는지도 문제되는 경우가 있다. 정보보호에 관한 사안이므로 정보보호 부서가 하여야 한다는 시각도 있지만, 정보보호 부서가 금융회사의 전체 부서와 개별 임직원의 업무에 통달하여 접근권한 부여 필요성이나 범위를 판단하라고 기대하는 것은 현실적이지 않다는 의견도 있다. 그렇다고 접근권한 부여 필요성을 현업 부서의 판단에 전적으로 의존하고 아무런 검증을 하지 않는다면 정보보호 부서의 역할을 다하지 못하였다고 판단될 수 있다.

정보보호 부서가 현업 부서 임직원의 개인신용정보처리시스템 이용 현황을 파악할 수 있는 자료를 생성하여 현업 부서장에 제공하고, 현업 부서장은 해당 자료를 토대로 1차적인 접근권한 부여 적정성 점검 활동을 수행하고, 고유식별정보나 민감정보가 처리되는 등 중요도가 높은 개인신용정보처리시스템에 대해서는 정보보호 부서가 추가 점검을 실시하는 등 현업 부서와 정보보호 부서가 협업하여 실효적인 접근권한 관리 방안을 찾을 필요가 있다.

‘상거래관계 종료 고객정보의 삭제’

상거래관계가 종료된 고객에 관한 정보는 상거래 종료일로부터 5년 이내에 삭제해야 함이 원칙이다. 그런데 많은 금융회사들이 고객정보 삭제 절차를 두고는 있지만 정작 삭제되어야 할 고객정보가 어디에 저장되어 있는지 100% 파악하지 못하고 있는 경우가 많다. 1차적으로 고객정보가 저장된 시스템을 현행화하여 고객정보 삭제 절차가 전사적으로 적용될 수 있도록 조치할 필요가 있다. 또한 새롭게 도입되거나 생성되는 데이터베이스와 테이블도 고객정보 삭제 절차가 적용될 수 있도록 신규 데이터베이스 도입과 테이블 생성 정책을 설계하는 것도 고려할 수 있다.

임시로 생성된 테이블이 용도를 다하였음에도 불구하고 삭제되지 않고 방치되거나, 실제로는 장기간 고객정보를 처리함에도 불구하고 명목상 ‘임시’ 테이블이라는 이유로 고객정보 삭제 절차에서 누락되는 경우도 발견된다. 임시 목적으로 생성된 테이블은 임시 사용기간이 경과하면 자동으로 삭제되도록 조치하고, 사용기간 연장을 여러 차례 요청하는 임시 테이블은 정규 테이블로 전환하여 고객정보 삭제 대상으로 인식하는 방안도 고려해볼 수 있다.

맺으며

대부분의 금융회사는 다른 회사들의 신용정보법 제재 사례를 분석하고 자사에 같은 문제가 있는지 점검 활동을 수행하고 있다. 하지만 막상 감독당국의 검사를 받으면 다른 회사와 유사한 문제점이 발견되는 경우가 많기에 같은 유형의 신용정보법 제재사례가 누적되고 있다. 정보보호는 물론 보안, IT, 소비자보호, 현업 등 고객정보를 직접 다루거나 고객정보를 다루는 인프라를 관리하는 여러 부서의 관심과 협업을 통해 보다 효과적으로 신용정보법 컴플라이언스 수준을 향상시킬 수 있으리라 생각된다.

[김앤장 핀테크·가상자산 인사이트]에서는 빠르게 변화하는 디지털 금융 환경 속에서 핀테크, 가상자산, 블록체인 산업을 둘러싼 법제〮도와 규제 동향을 살펴보고 주요 정책과 해석례를 참고해 기업과 실무자들에게 필요한 시사점을 전달하고자 합니다. 김세중 변호사는 은행, 증권, 보험, 신용카드 등 금융업권의 정보보호 관련 법률 자문, 컴플라이언스 현황 진단 및 개선 컨설팅, 유관기관의 검사∙조사 대응 업무를 활발히 수행하고 있습니다.

이 기사가 마음에 들었다면, 좋아요를 눌러주세요.