시중은행의 외주업체에서 1만7551건의 개인정보가 유출되는 사고가 발생한 가운데 은행권 개인정보 외주관리 체계의 허점이 노출됐다. 주요 은행들은 평균 127개 업체에 고객정보 처리를 위탁하며 재위탁도 평균 50건 넘는 것으로 나타났다. 신사업 추진으로 개인정보 위탁건수가 많아져 관리·감독을 강화해야 한다는 지적이 잇따른다.
7일 금융권에 따르면 4대은행(KB국민·신한·하나·우리은행)의 정보 위탁건수는 총 510건으로 집계됐다. 은행별로 보면 △하나은행 146건 △KB국민은행 132건 △신한은행 119건 △우리은행 113건으로 평균 127.5곳에 고객정보를 맡겼다.
재위탁한 경우까지 합치면 숫자는 더 늘어난다. 재수탁사 수는 △KB국민은행 78건 △신한은행 61건 △하나은행 35건 △우리은행 30건으로 평균 51건에 달했다.
은행들은 우편, 카카오톡, SMS(문자메시지) 발송 등 단순업무부터 본인인증, 대출모집, 프로그램 개발 등 다양한 업무를 위해 외부업체와 계약하고 개인정보를 맡겼다.
특히 최근에는 디지털자산, AX(인공지능 전환) 등 신사업을 추진하는 과정에서 IT(정보기술)업체 및 관련 스타트업과 협업이 늘면서 정보위탁 사례가 많아졌다.
이에 은행권에서는 개인정보보호법에 따라 내부지침을 만들어 관리한다. 개인정보보호법 26조에 따르면 정보를 위탁하는 회사는 고객정보가 유출되지 않도록 수탁사가 개인정보를 안전하게 처리하는지 감독할 의무가 있다.
이에 따라 4대은행은 정보위탁시 보안사항에 대한 약정서를 체결하고 매년 수탁사를 대상으로 직접 교육하고 자체점검을 진행한다. 수탁사가 정보를 다른 업체에 재위탁하는 경우엔 재수탁사 관리여부도 감독한다.
아울러 개인정보보호 손해배상 책임보험에 가입해 금융회사뿐 아니라 수탁사를 통한 해킹사고에 대비한다. 은행권 관계자는 "중요 위탁업무의 경우에는 서면점검뿐 아니라 현장점검을 실시한다"고 밝혔다.
이러한 감독체계를 만들었지만 개인정보 유출 가능성을 완전히 차단하기는 쉽지 않다. 이번 사고도 외주업체 소속 직원이 오픈소스 플랫폼에 개인 닉네임과 CI(연계정보)가 담긴 코드를 게시하면서 정보가 유출됐다. 해당 직원은 개인정보 포함여부를 인지하지 못한 것으로 전해졌다. 위탁업체가 관리범위를 벗어난 외부에 정보를 공유하며 발생한 일이다.
전문가들은 수탁업체에 직접적인 정보유출 원인이 있더라도 위탁 금융회사의 관리소홀 책임을 피하기 어렵다고 본다. 황석진 동국대학교 국제정보보호대학원 교수는 "결국 정보주체들은 제3자에 정보를 맡긴다는 고지를 받았지만 수탁자가 아닌 은행에 정보를 맡겼을 것이라고 생각하기 때문에 정보유출에 대한 책임은 금융회사가 피하기 어렵다"고 말했다.
조사를 맡은 개인정보보호위원회 관계자는 "지난 3일 오전 유출된 업체로부터 신고가 접수됐고 위수탁사 양쪽을 조사하고 책임범위에 따라 조치할 것"이라고 말했다.
수탁업체 선정시 인증체계를 확인하는 등 관리를 강화할 필요성도 제기된다.
염흥열 순천향대학교 정보보호학과 교수는 "제3기관이 진행하는 교육, 인식제고 활동을 강화하는 것이 필요하다"며 "금융회사뿐 아니라 수탁사들이 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받도록 하는 등 일정수준 이상의 개인정보 안전성 조치를 취하는지 확인하는 것도 과제 중 하나"라고 조언했다.