SBS Biz

금융감독원이 개인신용정보 누설·유출 등이 발생한 신협중앙회에 대해 28억원의 과징금과 '기관경고'의 징계를 내렸습니다.

오늘(11일) 금감원은 검사결과제재 공시를 통해 이 같은 내용의 제재안을 공개했습니다.

공시에 따르면 신협중앙회는 기관경고와 함께 28억7천200만원의 과징금, 1억1천360만원의 과태료를 부과받았습니다.

기관경고 제재를 받은 금융회사는 1년간 금융당국의 인가가 필요한 신사업에 진출할 수 없게 됩니다.

신협중앙회 직원 6명에 대해서도 면직·정직 등의 제재가 내려졌습니다.

개인신용정보 1만8천465건 업무 목적 외 누설
금감원에 따르면 신협중앙회 직업 甲은 A지역본부에서 근무하면서 수집한 개인신용정보 1만8천465건이 포함된 문서를 B신협 조합 직원에게 이메일로 전송했습니다.

해당 문서에는 조합원명과 여신계좌번호, 여신 취급액·잔액 등이 포함돼 있었습니다.

금감원에 따르면 직원 甲은 퇴직 이후 B신협의 감사로 이직할 예정이었으며, 감사업무에 참고할 목적으로 해당 개인신용정보들을 업무 목적 외로 누설했습니다.

업무상 알게 된 타인의 정보를 누설하는 행위는 신용정보의 이용 및 보호에 관한 법률 제42조를 위반하는 행위입니다.

신협, 신용정보 전산시스템 안전보호 의무 위반
개인정보 암호화 및 관련 내부통제 등 실패
금감원은 이 과정에서 신협중앙회가 신용정보 전산시스템의 안전보호 의무를 위반했다고 봤습니다.

신용정보법에 따르면 신용정보 이용자는 신용정보전산시스템의 안전보호를 위해 취급 중인 개인신용정보를 PC에 저장시 이를 암호화해야 합니다.

또 개인신용정보취급자가 개인신용정보를 이메일 등의 방법으로 외부에 전송하는 경우 관리책임자의 사전 승인을 받아야 합니다.

그리고 신용정보관리·보호인을 통해 개인신용정보 처리 실태 등에 관해 정기적으로 조사·개선해야 하며, 개인정보 유출방지를 위한 내부통제시스템을 구축해야 합니다.

그런데 신협중앙회는 지난 2019년부터 2021년까지의 기간 동안 업무용 단말기의 고객·임직원의 개인신용정보를 암호화하지 않았습니다.

또 개인신용정보를 중앙회 그룹웨어 내 이메일을 통해 개별조합(외부법인)으로 전송할 시 사전 승인절차를 마련하지 않았으며, 개인신용정보 처리에 관한 내부통제절차를 구축하지 않았습니다.

금감원은 이 같은 연유로 신협중앙회가 퇴직 예정이던 직원이 개인신용정보가 포함된 문서를 업무목적 외로 부당 유출했지만 사전에 인지하거나 차단하지 못했다고 지적했습니다.

신협, 개인정보 누설 사실 통지 및 신고서 제출 의무 위반
만약 개인신용정보가 업무 목적 외로 누설된 사실을 인지한다면 금융사는 지체 없이 신용정보주체에게 누설 사실을 통지하고, 1만 명 이상의 정보가 누설됐을 경우 금감원에 누설신고서를 제출해야 합니다.

그런데 신협중앙회는 내부감사와 외부 법률검토 등을 통해 개인신용정보 1만8천465건이 업무목적 외 누설된 사실을 확인했음에도 사실 통지 및 누설신고서 제출의 의무를 이행하지 않았습니다.

신협, 망분리 관련 해킹방지대책 위반
또 금감원은 신협중앙회가 망분리 관련해 전자금융거래법상 안정성 확보 의무를 위반했다고 봤습니다.

전자금융거래법과 그 감독규정·시행세칙에 따르면 금융회사는 내부통신망과 연결된 내부업무용시스템은 인터넷 등 외부통신망과 분리·차단하고 접속을 금지해야 합니다.

업무상 외부기관과의 연결이 필요한 경우에는 자체 위험성 평가와 정보보호위원회 승인을 거쳐야 합니다.

하지만 금감원에 따르면 신협중앙회는 지난 2019년 9월부터 2022년 4월까지 업무상 편의를 위해 전체 임직원 내부망 PC에서 36개 외부 인터넷 사이트로 접속할 수 있도록 허용하면서 위험성 평가 및 내부 정보보호위원회 승인을 받지 않았습니다.

또 신협중앙회는 비용절감과 관리 편의성을 위해 전산실(내부망)과 외부망에 설치한 서버 등의 정보처리시스템에서 내·외부망 작업을 서로 구분하지 않으며 망분리 관련 해킹방지대책을 위반했습니다.

이 같은 문책사항 외에도 신협중앙회는 상환준비금으로 유가증권을 운용하는 경우 지켜야 하는 신용협동조합법상 제한 사항을 어기는 등 1건의 주의사항도 추가로 지적받았습니다.