관련법 개정해 벌칙 신설
보고 제대로 안해도 제재
금융위, 상시평가제 시행

금융회사의 신용정보관리ㆍ보호인 지정 등이 의무화된다.

금융위원회 관계자는 14일 “제재 없는 의무는 없다”며 신용정보관리ㆍ보호인 미지정, 정보보고 자체평가반 미구성 등과 같은 신용정보보호 강화 노력을 위한 의무사항이 제대로 이행되지 않은 경우 벌금 등으로 이를 강제하는 벌칙조항을 고려 중임을 시사했다.

현행 ‘신용정보의 이용 및 보호에 관한 법률’ 제20조에서는 신용정보관리ㆍ보호인을 1명 이상 지정하도록 의무화하고 있다. 그러나 기록보존, 개인정보 누설 등에 대해서만 과징금 부과, 징역 및 벌금 등 벌칙을 적용하고 있을 뿐 신용정보관리ㆍ보호인 지정무에 대해서는 벌칙조항이 없다. 사실상 의무화가 아닌 셈이다.

금융위는 신용정보보호 강화를 위해 지난해부터 금융권 정보보호 운영실태에 대한 보고ㆍ점검제도가 도입됐지만, 조직ㆍ인력상 한계 등으로 형식적 수준에 그치고 있다는 판단이다. 특히 금융회사에 신용정보관리ㆍ보호인 지정이 의무화됐음에도 단순 실적보고에 그치며 취약점 평가 및 보완조치 의무 등이 이뤄지지 않고 있다고 인식하고 있다. 이에 최근 금융분야 개인정보보호 내실화 방안을 발표하고 연내 법개정 추진을 통해 ‘금융권 정보활용ㆍ관리 상시평가제’를 도입하기로 했다.

금융위 관계자는 “보고사항이 형식적이고 개인정보보호 중요성을 깨우치는 역할이 미흡하다 보니 이를 잘 강제하기 위해 금융권 상시평가 체계를 강화하는 방안을 내놓게 됐다”고 설명했다.

금융회사는 정보보호 자체평가반을 구성해 8개 대항목 72개 세부항목 등에 대한 자율규제기구에 평가결과를 제출한다.

자율규제기구에는 신용정보원이나 금융보안원이 참여하고 서면점검 등을 통해 등급화ㆍ점수화한다. 금융위나 금융감독원은 자율규제기구로부터 결과내용을 제공받고 보완조치 요구, 테마검사 등을 실시한다. 법령위반 사항 등 문제점이 드러날 경우 제재를 가하게 된다.

문영규 기자/ygmoon@heraldcorp.com