[사설] 금융 개인정보 보호 대책, 여전히 미흡하다

정부가 금융분야의 개인정보 유출 재발 방지를 위한 종합대책을 10일 내놨다. 사상 최대 규모의 카드사 개인정보 유출 사태로 국민적 분노의 목소리가 들끓자 내놓게 된 대책이다. 대체로 그동안 논의된 대책들을 망라한 것으로 보인다. 그러나 업계 반발이 큰 일부 쟁점 사안은 명쾌하게 매듭짓지 못했으며, 불법 정보유출에 따른 소비자 피해 구제 방안도 허술해 근본적인 대책이 될 수 있을지 의문이다.

이번 정부 대책에서 가장 눈에 띄는 대목은 금융소비자의 ‘자기정보결정권’을 강화한다는 내용이다. 이는 금융회사가 수집·관리하는 개인정보의 내용과 이용에 대한 결정 권한을 금융소비자에게 돌려주겠다는 취지로, 그동안 금융권의 그릇된 관행을 획기적으로 바꿀 수 있다는 점에서 의미가 커 보인다. 금융업권과 상품별로 개인정보 수집 항목을 구분해 최소화하도록 유도하겠다든지, 불법 개인정보 유출에 관련이 있거나 보안관리에 허술한 금융회사에 대한 제재 수위를 높이겠다는 대책도 긍정적으로 평가할 수 있다.

그러나 이런 대책들을 정보 유출 재발 방지를 위한 근본 처방으로 평가하기는 어렵다. 금융권의 개인정보 유출 사고가 끊이지 않는 배경에는 정보 유통의 권리와 책임에 대한 유인체계의 왜곡이 자리잡고 있다. 금융회사들이 불법적인 정보 수집과 유통, 관리 소홀 등에 따른 책임은 제대로 지지 않으면서 권리와 이익은 마음껏 누리고 있는 게 현실이다.

예컨대 금융지주회사의 경우 모든 계열사가 보유한 개인정보를 활용하는 최종 수혜자인데도 관리 의무도 없고 제재 대상에서 빠질 수 있게 돼 있다. 지금까지 금융지주회사 산하 계열사에서 9건의 중대 개인정보 유출 사고가 있었는데도 지주회사가 제재를 받은 적은 한 번도 없다. 이번 종합대책에서도 금융지주회사에 대한 규제 강화 방안은 빠졌다. 금융소비자 단체에서 꾸준히 요구해온 징벌적 손해배상 제도와 집단소송제 도입도 이번 대책에는 포함되지 않았다. 정부는 대신 징벌적 과징금 제도를 강화해 금융회사에 불이익을 주겠다는 방침인데, 이는 소비자 피해에 대한 배상을 국가에 귀속시키겠다는 것이어서 원칙에 맞지 않는다.

정부와 금융당국이 금융분야의 개인정보 보호 의지를 확고히 하려면 무엇보다 업계 편향적인 인식과 태도를 바꿔야 한다. 지금까지는 정보 주체인 소비자의 보호보다 금융회사의 편의와 이익을 더 중시해온 경향이 있었다. 이번에 내놓은 대책도 소비자 권리에 대한 실질적 보장으로는 미흡하다. 이제는 국회가 정부 대책까지 포함해 좀더 실효성 있는 방안을 마련하고 관련 법률 개정에 나서야 한다.