금융사 개인정보 분리보관 시행이 3일 앞으로 다가왔다. 과거 카드사 정보유출 사태 이후 신용정보 주체의 단계별 보호를 위해 정부는 신용정보보호법을 개정해 분리보관제를 의무화했다. 이에 따라 국내 금융사도 분리보관제 시행을 앞두고 각종 시스템 강화와 상용화 작업에 착수했다.
앞으로 금융사는 신용정보보호법에 따라 고객 정보를 금융 거래가 끝난 기간에 따라 2단계로 나눠 보관해야 한다.
1단계는 금융회사는 금융회사와 거래가 끝난 지 3개월 이후부터는 고객 성명, 주민등록번호, 연락처 등을 제외하고 모든 신상정보를 삭제해야 한다. 현재 금융사는 1단계를 시행하고 있다.
2단계는 거래가 끝난 지 5년이 지난 고객 정보를 현재 금융회사 전산시스템과 별도 시스템(물리적 분리)을 만들어 보관하거나 지금 사용하고 있는 시스템(논리적 분리) 내에서 전산벽을 쳐야 한다. 금융회사가 내부경영관리 목적으로 이용하거나 반복적 업무위탁을 위해 제공하는 경우를 제외하고 개인신용정보를 이용하거나 제3자에 제공 중인 현황을 신용정보 주체가 조회할 수 있도록 조회시스템을 구축해야 한다.
개인정보 분리보관 시행은 고객 정보를 무단으로 사용하거나 불법 악용하는 것을 막기 위한 대책이다. 금융사가 이를 지키지 않을 시 5000만원 이상 과태료를 물어야 한다.
분리보관제 시행을 앞두고 시중 은행은 물론 제2금융권까지 대책 마련에 돌입했다.
◇분리보관 시행 앞두고 금융권 시스템 완료 ‘분주’
분리보관 시행을 앞두고 시중은행과 2금융권 모두 상당부분 인프라 개선 등 준비작업을 완료했다.
선제적으로 움직인 곳은 KB국민은행이다.
지난 1월 27일 개인정보 관련 규제대응 및 실질적 개인정보보호 강화를 위해 빅데이터 기반 개인정보보호 통합관리시스템을 은행권 최초로 구축했다.
이 시스템은 금융권 개인정보 유출 등으로 강화된 개인정보보호법, 신용정보보호법 등 관련 법규 및 감독당국 규제에 대응하고 개인·신용정보 유출과 오남용 방지를 위한 개인정보보호 관리감독 체계를 수립했다는데 의의가 있다.
주요 기능은 모니터링, 현황조회, 관리활동 및 통합대시보드다.
국민은행 관계자는 “보안로그와 빅데이터 융합분석을 활용한 개인정보 오남용 및 유출 방지 모니터링, 통합보안관제, 개인고객 등 기존 시스템을 연계·통합한 정보보호 기능을 대폭 강화했다”며 “보안서약 및 정보보호교육 등 개인정보보호 관리활동, FDS연계 및 신규 모니터링 시스템 기반 정보보호 통합대시보드 기능을 모두 담았다”고 밝혔다.
과거 수기 보관하던 개인정보 보호업무를 전산화해 업무 효율성 향상을 꾀했다.
기존 개인정보보호 업무는 기능 및 시스템이 분산되고, 수기 처리해 통합적이고 체계적인 관리가 어려웠다. 예를 들어 오남용 및 유출방지 모니터링은 기존에는 시스템이 갖춰지지 않아 개별시스템으로 제한된 범위에서 모니터링이 이뤄지고 수기로 결과를 관리했다. 이 시스템을 적용하면 개인정보 라이프 사이클에 따른 체계적 오남용 및 유출방지 모니터링이 시스템화된다.
우리은행도 금융거래 종료 후 5년 이내 개인신용정보 삭제를 의무화하고 단말기에서 조회를 차단하는 방안을 추진한다. 우리은행 관계자는 “고객 정보 이용·제공 사실 조회 제도를 도입해 마케팅 목적으로 신용정보를 이용하거나 제공한 현황을 고객이 조회할 수 있도록 별도 시스템을 구축했다”고 설명했다.
한국SC은행은 신용정보법 개정에 따라 3월 12일부터 상거래 관계가 종료된 고객 개인신용정보 조회 차단과 분리보관 실시에 단계별로 체계화한 대응책을 마련했다.
지난 2014년 10월부터 2015년 7월까지 전산 개발 담당자와 각 비즈니스 담당자가 참석한 가운데 매주 1회 정기 회의를 개최해 거래종료일 개념과 대상화면을 정의하고 전산개발 가능성을 검토했다. 이후 분리보관 진행사항을 체크하고 이슈 사항을 전사 차원에서 대응했다.
그 결과 2015년 6월 전산에서 거래종료고객 개인신용정보를 조회할 수 없도록 1단계 조회차단 조치를 완료했다. 같은 해 7월 2단계로 CIF 원장에서 주민등록번호, 고객번호, 거래종료일만 남기고 나머지 정보는 별도 테이블에 분리보관을 실행했다.
전산 이행을 완료한 후 각 점포에 지침을 내리고 조회차단 및 분리보관을 이행 완료함으로써 신용정보법 요구사항을 충족시키는 시스템을 마련했다. 지난 2월에는 금융감독원의 2단계 조치 중 일부 수정 권고된 내용까지도 전산 변경을 완료했다.
한국씨티은행도 전사적으로 개인정보보호(PIPA) 프로젝트를 진행해 2단계 분리보관 시스템을 마련했다.
1단계 분리보관은 고객 상거래관계 종료 후 3개월 이내에 조치되며, 마케팅 목적으로 수집된 고객정보는 삭제되고 제한된 목적(법원자료 제출 등)으로만 책임자 승인 후 고객정보를 조회할 수 있다. 1단계 분리 보관된 고객정보 조회 내역은 로그(log) 기록으로 관리돼 목적 외 정보이용을 방지할 수 있다. 2단계 분리보관은 고객과 상거래관계 종료 후 5년 이내 조치되며, 고객정보를 전산원장에서 삭제한다. 다만 법률이행 등을 위해 불가피한 경우에는 별도 DB에 분리 보관한다.
고객 본인 조회 요청이 있더라도 2단계 분리 보관된 고객정보는 영업점에서 조회가 되지 않는다. 고객정보보호책임자(CPO) 사전승인을 득해 특정 본부부서에서만 처리가 가능하도록 했다. 법률이행(국세청 자료 요청 등) 사유로 2단계 분리 보관된 고객정보 활용 시 고객에게 통지한다.
◇지방은행도 개인정보 분리보관제 투자 ‘잰걸음’
금융당국이 금융사 고객정보 분리 보관을 당초 예정대로 오는 12일부터 시행키로 하면서 지방은행도 전산구축 정비에 분주하다.
대부분 지방은행은 고객 정보 분리 보관을 시행하기 위한 전산작업 마무리 단계에 있는 것으로 알려졌다.
부산은행은 오는 14일부터 전 직원의 고객정보 접근 권한을 차단하고 분리보관에 들어간다. 이후 6월 12일까지 고객 이름, 주민등록번호, 연락처 등을 제외한 고객 신상정보를 삭제할 예정이다.
경남은행도 막바지 전산 작업 중이다. 경남은행 관계자는 “오는 12일이 토요일이기 때문에 그 일정에 맞춰 고객정보를 분리할 수 있도록 마무리 작업에 있다”고 밝혔다.
제주은행도 최근 고객정보 분리보관을 위한 전산구축을 완료하고 2분기 내 고객정보를 삭제할 예정이다.
광주은행은 고객정보 분리 보관을 시행하기 위해 전산작업 등으로 시간이 더 필요하단 입장을 금융당국에 전달했다.
광주은행 관계자는 “지난해부터 광주은행 차세대 전산시스템 구축을 하고 있어 12월께로 고객정보 분리보관 일정을 연기했다”며 “금융위원회 의결을 받아서 대표이사 및 이사회에 보고한 상태로 문제 없이 진행 중”이라고 설명했다.
◇농협은행, KEB하나은행은 분리보관 ‘유예’
농협은행과 KEB하나은행은 각각 주전산 통합과 분리작업이 완료되지 않아 금융당국으로부터 분리보관 유예를 받았다.
금융위는 전산시스템 차세대 개발 등 각 금융사별 특수성을 감안해 시행을 일부 유예해주고 있다.
농협은 농협법에 따라 현재 상호금융부문과 은행부문 전산시스템을 분리하는 ‘IT전환프로젝트’를 추진 중이다. 이에 따라 고객정보 분리보관 시스템을 2017년 2월까지 구축하는 것을 목표로 잡았다.
KEB하나은행도 외환은행 전산통합 작업으로 분리보관을 올해 말까지 완료한다.
길재식 금융산업 전문기자 osolgil@etnews.com, 김지혜 금융산업/금융IT 기자 jihye@etnews.com
