22일 정부가 발표한 카드사 정보유출 재발방지 종합대책은 당연하다. 하지만 근본적인 문제해결이 아닌 땜질식 돌려막기 대책이라는 비판이 거세다.
금융회사들의 과도한 개인정보 수집을 근본적으로 막기 위해서는 금융회사들의 추가 상품판매 전략인 ‘연계영업’을 제한해야 한다는 것이다. 또한 금융회사 IT(정보시스템)인력의 외주화가 심화되면서 보안사고 발생 가능성이 증가하고 있는 만큼 IT외주화율에 대한 적절한 통제가 필요하다고도 한다.
금융사들이 개인신용정보를 과도하게 수집하는 원인은 ‘연계영업’을 통해 마케팅 기회를 창출하려고 하기 때문이다. 다시 말해 예금을 한 고객에게는 대출상품을 권유하고 카드를 만든 고객에게는 방카슈랑스나 펀드를 권유하는 것이며 이렇게 추가로 상품을 팔 수 있는 가능성을 알아보기 위해 다양한 정보를 수집하는 것이다.
따라서 금융회사의 이러한 행태가 바뀌지 않는 한 과도한 신용정보수집은 절대로 줄어들지 않을 것이라는 지적이다. 우리나라 금융지주회사 대부분이 이러한 영업 방식을 통해 수익을 극대화시키는 데 혈안이 돼 있고 직원들에 대한 성과평가도 대부분 연계영업 성과를 기준으로 하고 있기 때문에 일선 현장에서는 닥치는 대로 정보를 수집하는 관행이 자리 잡은 것이다.
금융회사들의 이러한 행태는 고객들에게 불필요한 상품을 권유하거나 상품을 불완전하게 판매하는 원인으로 작용하고 있으며 정보유출 사고 시 피해규모가 대형화되는 원인이기도 하다.”고 밝히고 결국 모든 피해는 금융소비자가 입게 된다.
따라서 금융당국이 이러한 근본적 원인은 그대로 둔 채 지엽적인 대안들만 나열하는 것은 진심이 결여된 대책으로밖에 볼 수 없다.
금융회사의 IT 직원들은 수많은 고객들의 개인 신용정보를 다루기 때문에 윤리의식과 담당업무에 대한 보안의식이 투철해야 한다. 개인신용정보 보호에 있어 가장 중요한 IT업무를 효율성이라는 미명 하에 외주를 주게 되면 개인정보 보호나 기타 보안업무에 누수가 발생할 수밖에 없다.
그렇기 때문에 금융회사들은 IT 부문에 대한 외주인력 의존도를 최소한으로 줄이고 가급적 직접고용을 통해 내부인력 중심으로 인력을 운용해야 한다.
하지만 보험사와 카드사의 경우는 외주인력이 오히려 더 많은 실정이다. 불가피한 업무에 외주 인력을 쓸 수는 있겠지만 오히려 내부 인력보다 더 많은 외주 인력을 쓰고 있는 것은 문제가 아닐 수 없다.
금융회사에서 IT부문은 개인정보 보호에 있어 최전선이나 다름없다. 개인정보 보호나 보안 문제에 있어 가장 투철한 윤리의식을 가지고 회사와 명운을 같이 해야 할 직원들이 금융회사 소속 직원들이 아니라면 문제가 있다. 금융당국이 나서 IT부문 외주화율을 적절히 제한해야 할 필요가 있다.
더 나아가 금융당국은 정보유출 해당 금융사는 영업정지, 징벌적 손해배상 및 제재금 부과 등 중징계를 내리고, 정보유출 피해에 대한 보상 기준을 마련해야 한다. 아울러 징벌적 손해배상제도와 집단소송제도 도입 검토도 필요하다.
