[뉴스토마토 김민성기자] 개인정보 보관기간이 법률마다 달라 업계와 당국 모두 관리·감독을 소홀히 한 것으로 드러났다.
법률간 차이로 인해 이미 해지 또는 탈회한 회원도 개인정보가 유출된 것으로 파악됐다.
21일 금융권에 따르면 개인정보보호법, 신용정보보호법, 전자금융거래법 등에서 명시하는 개인정보 보관기간이 제각각 달랐다.
카드업계는 고객과 계약이 종료돼도 카드사용이 전자금융 관련 범죄에 악용될 수 있어 개인정보를 5년간 보유할 의무가 있다고 설명했다.
◇지난 14일 신제윤 금융위원장 주재로 개최한 긴급회의에서 금융권 CEO들이 한자리에 모여있다 (사진=뉴스토마토 DB)
2011년 9월 말에 시행된 개인정보보호법에는 목적을 달성한 개인정보를 5일 이내에 바로 파기하도록 돼 있으나 '목적 달성'의 기준이나 정보 보유기간의 범위 등에 대한 명시적인 기준은 없다. 이에따라 각 회사는 약관으로 구체적 보유기간을 정해야 한다.
신용정보보호법은 신용정보회사 등이 의뢰자 성명, 업무처리 내용, 신용정보 등을 3년간 보존토록 했다.
전자금융거래법 시행령에는 건당 1만원을 초과하는 전자금융거래에 관한 기록 등은 5년간 보존해야 하며 1만원 이하와 전자지급수단의 이용과 관련된 거래승인에 관한 기록은 1년간 유지하도록 돼 있다.
법률상 같은 효력을 지닌 '금융분야 개인정보보호 가이드라인'에도 명확한 기간이 제시돼 있지 않다.
지난 20일 사퇴한 손경익 NH농협카드 분사장은 "관련 법률마다 차이가 있어 개인정보를 관리하는 데 어려움이 있었던 게 사실이다"라고 말했다.
금융당국은 이같은 혼선을 알고 있었지만 사태가 커지자 부랴부랴 고객정보보호 정상화 태스크포스(TF)를 구성해 대책을 고심하고 있다.
해지·탈회한 지가 5년이상 된 고객, 이미 사망한 고객의 정보도 유출돼 관련 고객의 항의가 빗발치기 때문이다.
신제윤 금융위원장은 지난 20일 "TF를 통해 관련법를 개정하고 보유기간 기준을 통일하겠다"고 밝힌 바 있다.
금융위 관계자는 "특별법 우선의 원칙으로 신용정보보호법이 앞서지만 기본법인 개인정보보호법이 늦게 제정되면서 혼선이 생긴 것으로 보인다"며 "책임자들이 관련 법률에 대해 설명할 수 있도록 법규를 손봐야 할 것"이라고 말했다.
하지만 금융권에서는 당국의 늑장대응에 대해 비판적인 목소리도 많다.
한 관계자는 "당국이나 업계 책임자 모두 법률에 있어 혼선의 소지 많다는 판단이 있었지만 미리 대응을 하지 못한 게 큰 사고를 불러온 근본적 원인일 수 있다"며 "이번 사태가 터지지 않았다면 기존 규정 그대로 유지되는 것 아니냐"라고 강하게 질타했다.