사상 초유의 카드사 고객정보 유출사태는 금융회사의 주먹구구식 개인정보 보호 시스템이 부른 인재(人災)라는 게 전문가들의 지적이다.

은행과 카드사, 보험사 등 금융지주 계열사들은 시너지 효과를 내기 위해 상품 가입자들의 정보를 광범위하게 공유하고 있다. 법적인 문제는 없다. 금융지주회사법 48조 1항과 2항에 따르면 금융지주사는 금융실명거래법, 신용정보 이용 및 보호법 등에 따라 개인신용정보를 계열사 간에 제공할 수 있다.

금융위원회에 따르면 12개 금융지주사는 2011~2012년 1217회에 걸쳐 약 40억건의 고객정보를 그룹 내 회사들끼리 공유했다. 이 중 약 33%인 13억건이 보험 텔레마케팅이나 신용대출 상품판매 등 고객이 회원으로 가입하지 않은 자회사나 손자회사의 영업목적으로 이용됐다.

그런데 지주 계열사들은 정보 제공에 동의하지 않아도 된다는 점을 고객에게 알려주지 않는다. 법률사무소 민후의 김경환 대표 변호사는 “은행, 카드사 등을 찾아온 고객들은 관행적으로 정보를 동의해야만 서비스를 제공받을 수 있다는 고정관념이 있다”며 “금융회사들은 서류상 동의서를 고객에게 주긴 하지만 고객이 묻기 전에는 정보제공 동의를 하지 않아도 되는 사실을 미리 고지하지 않는다”고 말했다.

금융지주사뿐만이 아니다. 상당수 온라인 쇼핑몰, 온라인 서점 등에서는 가입 상품결제 등의 절차를 진행할 때 개인정보 제공에 동의할 것을 요구한다. 동의하지 않을 때는 아예 다음 단계로 넘어갈 수 없다. 이는 ‘개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부해서는 안 된다’는 개인정보보호법 16조 3항에 위배되는 것이다. 이처럼 편법적으로 고객 동의를 받는 데 길들여진 개인들이 은행이나 카드사에서도 개인정보는 응당 제공해야 한다고 착각한다는 설명이다.

정보가 공유된 다음엔 사후 관리도 부실하다. 현재 금융지주의 계열사들은 각각의 고객정보 보안책임 담당자를 두고 있지만 계열사들이 각각의 담당자를 둘 뿐 이들을 총괄 지휘하는 컨트롤 타워 역할은 부족하다.

카드사들이 다른 기업과 무차별적으로 맺고 있는 제휴도 정보 유출의 위험을 가중시키고 있다. 현재 카드사에서 수집한 개인정보를 마케팅 용도로 제공하는 제휴사는 카드사별로 적게는 수십 곳에서 많게는 수백 곳까지 된다.

신한카드, 국민카드, 삼성카드 등 카드사 9곳에서 제휴를 맺고 고객정보를 제공하는 업체는 1000여곳으로 추산된다. KB국민카드의 경우 100여곳에 달하고 NH농협카드도 80곳이 넘는다. 카드 사용자가 카드를 발급한 카드사 외 타 카드사에서도 신용등급, 대출, 연체내역 등 고객정보를 열람할 수 있도록 돼 있다. 카드사에 제공한 정보가 무차별적으로 빠져나가고 있다는 얘기다.

금융당국은 뒤늦게나마 카드사와 다른 기업 간 무분별한 제휴와 금융지주사의 자회사 등 간 고객 정보를 무차별적으로 공유하는 데 제동을 걸 방침이다. 우선 카드 가입 신청서 양식을 전면 개정하기로 했다. 금융감독원은 포괄적인 문구 대신 제휴사별로 동의란을 따로 만들어 고객이 직접 제휴업체를 선택할 수 있도록 고치기로 했다.

류시훈/박신영/임기훈 기자 bada@hankyung.com