관련법 개정해 벌칙 신설
보고 제대로 안해도 제재
금융위, 상시평가제 시행

[헤럴드경제=문영규 기자]금융당국이 법개정을 통해 신용정보관리ㆍ보호인 지정 등의 조치를 강제할 수 있는 벌칙조항 마련을 검토하고 있다.

금융위원회 관계자는 14일 “제재 없는 의무는 없다”며 신용정보관리ㆍ보호인 미지정, 정보보고 자체평가반 미구성 등과 같은 신용정보보호 강화 노력을 위한 의무사항이 제대로 이행되지 않은 경우 벌금 등으로 이를 강제하는 벌칙조항을 고려 중임을 시사했다. 충실한 보고를 위해 보고의무 불이행에 대한 제재도 가능할 것으로 전망된다.

금융회사 개인정보 활용 관리 실태 상시평가 흐름도 [자료=금융위원회]

현행 ‘신용정보의 이용 및 보호에 관한 법률’ 제20조에서는 신용정보관리ㆍ보호인을 1명 이상 지정하도록 의무화하고 있다. 그러나 기록보존, 개인정보 누설 등에 대해서만 과징금 부과, 징역 및 벌금 등 벌칙을 적용하고 있을 뿐 신용정보관리ㆍ보호인 지정무에 대해서는 벌칙조항이 없다.

경영위험전문관리임원(CRO)이 경영위험에 대해 이사회나 감사위원회에 보고의무를 다하고 있는 것처럼 신용정보관리ㆍ보호인 역시 일종의 최고정보관리책임자(CIO)로서 개인신용정보를 중요하게 관리해야 한다.

신용정보보호 강화를 위해 지난해부터 금융권 정보보호 운영실태에 대한 보고ㆍ점검제도가 도입됐지만, 조직ㆍ인력상 한계 등으로 형식적 수준에 그치고 있다는 지적이다.

특히 금융위는 금융회사에 신용정보관리ㆍ보호인 지정이 의무화됐음에도 단순 실적보고에 그치며 취약점 평가 및 보완조치 의무 등이 이뤄지지 않고 있다고 판단했다. 이에 최근 금융분야 개인정보보호 내실화 방안을 발표하고 연내 법개정 추진을 통해 ‘금융권 정보활용ㆍ관리 상시평가제’를 도입하기로 했다.

금융위 관계자는 “문재인 정부의 공약사항이자 국정과제”라며 “보고사항이 형식적이고 개인정보보호 중요성을 깨우치는 역할이 미흡하다 보니 이를 잘 강제하기 위해 금융권 상시평가 체계를 강화하는 방안을 내놓게 됐다”고 설명했다.

금융회사는 정보보호 자체평가반을 구성해 8개 대항목 72개 세부항목 등에 대해 자율규제기구에 평가결과를 제출한다. 자율규제기구에는 신용정보원이나 금융보안원이 참여하고 서면점검 등을 통해 등급화ㆍ점수화한다. 금융위나 금융감독원은 자율규제기구로부터 결과내용을 제공받고 보완조치 요구, 테마검사 등을 실시한다. 법령위반 사항 등 문제점이 드러날 경우 제재를 가하게 된다.

ygmoon@heraldcorp.com