[서울파이낸스 김현경 기자] 은행, 카드사 등 금융사가 보유하고 있는 개인신용정보에 대한 보호·관리 수준이 한층 강화된다. 금융사의 정보보호 실태를 체계적으로 점검할 수 있도록 정부가 내년 2월 '정보보호 상시평가제'를 도입하기로 한 데 따른다.
금융위원회는 6일 금융사에 대한 정보보호 규제를 체계적·상시적으로 검증할 수 있는 상시평가제를 내년 2월 4일부터 시행한다고 밝혔다.
인공지능(AI), 빅데이터 등 신기술 발전으로 데이터 종류와 양이 대폭 늘고 활용방식도 다양해지면서 정보보호 점검체계를 보완할 필요성이 높아졌기 때문이다. 기존 점검방식에는 새로운 데이터 환경에 대한 가이드라인이 없어 평가가 어렵다는 문제가 있었다. 또 점검기준이 지나치게 포괄적이고 금융당국의 한정된 인력으로 전 금융사 실태를 점검하려다 보니 피드백 부족 등의 한계가 있다는 지적도 나왔다.
이에 따라 금융위는 △정밀한 점검기준 및 새로운 평가기준 마련 △자율규제기구 등 효율적 검증시스템 도입 △금융사 자체 점검환경 조성 등을 내용으로 하는 '정보보호 상시평가제'를 도입하기로 했다.
우선, 금융권 정보보호 실태 점검항목을 기존 6개에서 9개 대항목 및 143개 소항목으로 세분화한다. 9개 대항목은 정보의 생애주기에 해당하는 △동의 △수집 △제공 △보유·삭제 △권리보장 △처리위탁 △관리적 보호조치 △기술적 보호조치 △가명정보 보호조치 등으로 구성된다. 또 정보보호 점검항목별 준수 정도에 따라 △이행 △부분이행 △미이행 △해당없음 등 4단계로 구분한다. 업무 담당자가 이해하기 쉽도록 점검 현황과 결과는 시각적인 화면으로 제공한다.
신기술 등장에 따른 새로운 제도를 체계적으로 관리·파악할 수 있는 평가기준도 마련한다. 특히, 가명정보 처리, 전송요구 이행, 데이터 결합 등에 관한 정보보호 조치 이행 여부를 점검한다. 일정기간 평가점수가 우수하고 사고가 없는 기업은 사고 발생시 제재감면 등의 혜택을 부여하는 '안전성 인증마크'를 부여한다.
인력부족 문제 보완 차원에서 전문기관인 자율규제기구(금융보안원)가 금융권 정보보호 실태를 점검할 수 있도록 권한을 부여한다. 비대면·자동화를 통해 금융규제를 쉽게 준수할 수 있도록 지원하는 기술 '레그테크'를 기반으로 상시평가지원시스템을 구축한다. 금융권 정보보호 수준을 수치화하고 이를 전산자료 형태로 축적해 금융당국 감독·검사에도 활용한다. 정보보호 실태 점검도 △금융사 자체평가 △자율규제기구 점검 및 점수 부여 △금융당국 감독·검사 등 3단계로 세분화하고 점검결과에 대한 피드백도 금융사에 제공하기로 했다.
아울러 금융사가 규모·역량과 관계없이 일정 수준 이상의 정보보호 체계를 구축할 수 있도록 적극적인 점검환경을 조성한다. 여기에 금융사가 사례·유형별 정보보호 가이드라인을 마련토록 하고 정부는 금융권 정보보호 자율점검 체계 형성 지원 프로그램을 제공한다.
금융위는 내년 2월 4일 정보보호 상시평가제 시행에 맞춰 시범운영을 실시하고 상시평가제 세부 운영 가이드라인을 내년 1월 배포할 계획이다.
금융위 관계자는 "급변하는 데이터 산업 환경 속에서도 금융권이 효과적으로 개인신용정보를 보호할 수 있는 정보보호 체계로 탈바꿈하게 됐다"며 "AI 등 신기술 도입, 가명정보 등 새로운 데이터 처리 환경에서도 일관성 있는 정보보호를 통해 국민 신뢰성을 제고할 것으로 기대된다"고 밝혔다.
