데이터 활용 길 열렸으나 정보 오남용 우려 만연
상시평가제 도입해 금융사 정보보호 강화 압박

<대한금융신문=문지현 기자> 금융당국이 금융사 데이터 활용에 대해 당근과 채찍 전략을 함께 쓴다. 빅데이터 활성화를 위해 벌려 놓은 판에 금융사의 무분별한 진입과 금융소비자의 정보 오남용 우려를 막기 위해서다.

11일 금융권에 따르면 금융위원회와 금융감독원은 신용정보법 개정을 통한 '금융권 정보활용·관리 상시평가제' 도입의 운영방식을 이달 중 시행령에 명시한다. 시행령과 시행규칙 개정안을 내달 외부에 공개하고, 입법예고할 방침이다.

금융위는 신용정보법을 개정하면서 빅데이터 활성화에 초점을 뒀다. 먼저 가명정보를 도입해 금융사가 이를 상업 목적으로도 활용할 수 있게 했다. 금융사가 빅데이터 업무를 부수업무로 적극 영위할 수 있게 데이터 활용 가이드라인도 만들고 있다.

또 이종산업 간 정보를 사고팔 수 있는 데이터 거래소도 내달 가동을 목표로 준비 중이며, 금융분야 빅데이터 개방 시스템인 크레디비(CreDB) 상에 개방정보 범위도 확대하고 있다.

데이터 경제 활성화라는 취지는 좋지만 시민단체를 중심으로 개인정보 오남용에 대한 우려를 보여왔다. 기업이 데이터를 마음껏 활용할 수 있게 됐지만, 금융소비자 입장에선 본인의 신용정보가 언제 새어 나갈지 모른다는 불안함이 남는다.

이를 위해 금융당국은 '금융권 정보활용·관리 상시평가제'를 도입하기 했다. 이는 금융권 정보활용과 관리 실태를 집중 점검하는 감독시스템이다.

금융권에 상시평가제를 도입하는 이유는 금융사의 위법 행위를 미연에 방지하고 금융사 스스로 정보보호에 대한 인식을 제고할 수 있게 당국이 직접 정보보안 관리에 고삐를 조이겠다는 취지로 해석된다. 상시평가제는 현 정부의 국정과제이기도 하다.

기존 법체계에도 정보보호를 위한 조치가 있지만 방대한 양의 데이터를 다루게 될 금융사를 통제하기엔 역부족이다.

금융당국은 금융권에 최고정보관리책임자(CIO)와 최고정보보호책임자(CISO) 등 신용정보관리·보호인을 의무로 배치해 연 1회씩 금융당국에 업무보고서를 제출하게 했다. 다만 이는 형식적인 보고 수준에 그치는 경우가 많았으며, 미흡한 부분에 대한 보완조치를 강제할 수 없었다.

상시평가제가 도입되면 정보보호 실태 평가 결과에 대해 당국의 직접적인 압박이 가해질 수 있어 금융사 전반의 정보보호 수준이 올라갈 것으로 전망된다.

그동안 금융사들은 정보보호 예산을 책정만 하고 실제 투자를 하지 않아왔다. 금융감독원 자료에 따르면 지난해 8월 은행의 정보보호 예산 집행률은 41.8%였다. 카드사는 44.8%, 생명보험사는 45.8%, 손해보험사는 49.1%로 책정된 정보보호 예산을 절반 이상 집행한 금융업권은 없었다.

시행령엔 신용정보보호 강화 노력을 위한 의무사항이 제대로 이행되지 않을 경우 벌금 등으로 이를 강제하는 벌칙조항이 생길 수 있다. 충실한 보고를 위해 보고의무 불이행에 대한 제재도 가능할 것으로 전망된다.

상시평가제 대상은 금융지주, 은행, 보험, 신용정보회사 등 금융감독원의 검사 대상인 전체 금융사가 된다.

금융사는 내부에 정보보호 자체평가반을 구성해 8개 대항목 72개 세부항목 등에 대해 자율규제기구에 평가결과를 제출한다. 자율규제기구에는 금융보안원 등이 참여하고 서면점검 등을 통해 등급화·점수화한다. 

금융당국은 자율규제기구로부터 결과내용을 제공받아 금융사에 취약부문 보완조치를 요구하고 필요 시 금감원이 현장점검과 테마검사에 나선다. 법령위반 사항 등 문제점이 드러날 경우 금융사는 제재 대상이 된다.

금융위 관계자는 “금융사의 상시평가제 횟수나 자율규제기구 등 구체적인 방안은 시행령에 명시된다”라며 “지난 2017년부터 금융권 정보보호 운영실태에 대한 보고·점검제도가 도입됐으나, 조직과 인력상 한계로 형식적 수준에 그쳐 상시로 점검할 수 있는 체계적인 감독시스템을 구축하게 됐다”고 설명했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지