“금융사, 고객 정보관리 잘하나”… 상시평가제 내년 2월 시행

금융사의 자체평가, 자율규제기구의 점검, 금융당국의 감독·검사로 진행

내년부터 금융권의 신용정보 보호실태를 총체적으로 점검하는 시스템이 도입된다.

6일 금융위원회는 금융사의 개인신용정보에 대한 관리·보호 실태를 상시로 점검하고, 점검결과에 대해 점수·등급을 부여하는 정보보호 상시평가제를 내년 2월부터 실시한다고 밝혔다.

2014년 카드사의 정보 유출 사고 이후, 금융당국은 정보보호를 위해 금융사의 책임과 의무를 강화시켰다. 최근 기술 도입과 정보량이 늘면서 새로운 점검기준과 점검체계가 필요해진 상황이다.

평가제는 정보보호 실태를 자세히 점검할 수 있도록 점검항목을 9개 대항목 143개 소항목으로 제시한다. 동의·수집·제공·삭제 등 정보의 생애주기에 따른 전반적인 사항을 점검할 수 있도록 평가항목을 구체화한 것이다. 올해 금융당국은 금융보안원, 금융업권별 협회, 금융사와 함께 상시평가를 위한 점검항목 기준을 마련했다. 정보보호 점검항목별로 준수 정도에 따라 이행, 부분이행, 미이행, 해당없음 4단계로 구분한다.

새로운 제도를 체계적으로 관리할 수 있도록 평가기준이 준비된다. 가명정보 처리, 전송요구 이행, 데이터 결합 등에 관한 기술적·관리적 정보보호 조치에 대한 이행 여부를 점검한다. 일정기간 점수가 우수하고 사고가 없는 기업은 사고발생시 제재감면 등의 혜택을 부여하는 ‘안전성 인증마크’를 부여한다.

실태 점검은 전문기관인 자율규제기구(금융보안원)가 맡는다. 인력을 보강하고, 레그테크 기반 상시평가지원시스템을 구축해 점검 과정을 자동화한다. 금융권 정보보호 수준을 수치화, 통계화 등을 통한 전산자료 형태로 쌓아 금융당국의 감독·검사에 활용한다.

정보보호 실태 점검은 3단계로 나뉜다. 금융회사의 자체평가, 자율규제기구의 점검 및 점수(등급) 부여, 금융당국의 감독·검사 순으로 구성된다.

또, 금융당국은 금융사의 규모·역량과 관계없이 일정 수준 이상의 정보보호 체계를 스스로 갖출 수 있도록 지원한다. 중·소형 금융사도 대형 금융회사와 유사한 수준의 정보보호 역량을 갖출 수 있도록 유도한다.

상시평가제는 지원시스템 시범운영, 상시평가위원회 구성, 가이드라인 배포 등을 거쳐 내년 2월 4일 시행된다.

금융위 관계자는 “금융권이 효과적으로 개인신용정보를 보호하는 정보보호 체계로 탈바꿈하고 일관성 있는 정보보호를 통해 국민의 신뢰성을 높일 것이다”라고 말했다.

민현배기자