#카드사의 정보 유출 사태 이후 김진형씨는 자주 쓰지 않는 카드와 은행 계좌 등을 정리하기로 했다. 당시 언론에서 ‘탈회 뒤 즉시 삭제 요청을 해야 개인정보가 삭제된다’는 얘기를 듣고, 카드사와 은행사에 ‘즉시 삭제’를 요구했다. 그런데 ㄱ카드사와 ㄱ은행은 “현행법상 금융기관이 5년간 정보를 보존할 의무가 있다”며 거절한 반면, ㅅ카드사는 ‘서약서’를 받고 즉시 삭제 처리를 해준다고 한다. 김씨는 어느 것이 맞는지 혼란스럽다.

최근 카드사 정보 유출 사태로 해지 뒤 30년이 지난 정보까지 금융사가 보관하고 있는 게 알려지면서, 개인정보 삭제 방법에 대한 사람들의 관심이 크게 늘었다. 하지만 은행이나 카드사를 찾은 고객들은 “개인정보처리 중지는 가능하지만, 즉시 삭제는 어렵다”는 대답에 혼란을 겪고 있다. 금융권은 금융권대로 ‘왜 즉시 삭제가 안 되느냐’는 고객들의 항의가 빗발쳐 업무에 지장을 빚고 있다고 호소한다. 왜 이런 일이 벌어지는 걸까.

카드사를 예로 들면, 개인정보 삭제 과정은 세 단계(탈회, 탈회 및 정보처리 중지, 데이터베이스 파기)로 나눌 수 있다. 카드사들은 회원이 카드를 해지하고 탈회하더라도 회원의 이름·주소·연락처·계좌번호 등의 식별정보는 그대로 남겨 둔다. 탈회 때 따로 ‘정보처리 중지’ 요청을 하면, 별도 데이터베이스(DB)로 간주해 개인식별정보가 망에서 공유되지 않도록 차단한다. 물론 영업·마케팅에도 활용할 수 없다.

광고

그러나 데이터베이스에서 완전히 삭제되는 것은 5년이 지난 뒤다. 현행법상(전자금융거래법·상법 등) 금융기관은 향후 분쟁이나 민원 등에 대비해 일정 기간 자료를 백업(별도 저장)해 보존하도록 돼 있기 때문이다. 국민은행 쪽은 “데이터베이스에서 삭제해 버리면 가입했던 사실 자체가 사라진다. 예를 들어 대포통장 등을 만들었다가, 삭제해 달라며 모조리 기록을 지워버리는 등 범죄에 악용될 수도 있다”고 설명한다.

이에 따라 현재 금융권은 ‘정보 삭제 요청’이 들어오면 ‘탈회 및 정보처리 중지’ 조처를 해 주고 있는데, 흔히 일반 고객들이 생각하는 ‘삭제’와 달라 충돌이 벌어지고 있다. 5년간 남게 되는 이름·주민번호·계좌번호 등이야말로 고객들이 최대한 빨리 지워버리고 싶어하는 식별정보인 까닭이다. 이름을 밝히기를 꺼린 한 카드사는 “법에 따라 5년 동안 백업 파일 형태로 보관 뒤 삭제한다는 설명을 하면 고객들이 ‘왜 바로 지워주지 않느냐’며 창구에 거칠게 항의하는 경우가 빈번해, 정보처리 중지 조처를 하고 사실상 삭제로 안내하고 있다”고 말했다.

광고
광고

현재 금융권에서 개인정보를 ‘삭제’한다고 할 때는 정보처리 중지 조처를 말한다. 정보 유출 사태를 빚은 케이비(KB)국민카드, 롯데카드, 엔에이치(NH)농협카드 세 곳 모두 현재 ‘탈회 및 정보처리 중지’를 한다. 이는 금융당국이 내린 지침이기도 하다. ㅇ은행 관계자는 “처리 중지된 개인정보는 내부망에 차단된 정보로 뜨고, 창구에서도 조회할 수 없으므로 은행 입장에선 삭제한 것이나 다름없다”고 설명했다.

앞으로 카드사·은행 등의 경우는 5년, 보험·증권 등은 최소 10년 동안 이처럼 백업 자료를 보존하게 될 예정이다. 금융당국은 지난 10일 ‘개인정보 유출 재발방지 종합대책’을 발표하고, 거래 종료 뒤 5년이 지나면 이름·주소·주민등록번호·계좌번호 등 식별정보와 거래정보를 파기하는 내용을 신용정보보호법을 개정해 반영하겠다고 밝혔다.

광고

하지만 당국은 여기서도 “법령상 의무(자본시장법상 투자자 계약 관련 자료 10년간 보관), 상해보험 후유장애 보장을 위한 정보 등”은 예외로 규정하고 있다. 증권사나 보험사 가입 정보는 더 오래 남는다는 얘기다. 예를 들어 최근 인기를 끌고 있는 증권사 체크카드를 만들거나, 시엠에이(CMA) 계좌를 개설하는 경우, 혹은 증권사가 아니라도 은행에서 증권거래계좌 개설 권유를 받아들였다면 10년간 정보 파기가 불가능하다. 계좌를 개설하려다 가입이 거절됐더라도, 제출한 정보와 가입 거절 사실은 보존된다.

자동차보험, 어린이보험, 상해보험 등에 들었다면 보존 기간은 10년 이상 길어질 수도 있다. 보험업권에서는 “보험정보 특성상 장기 보유가 불가피하다”고 주장하고 있다. 한 보험사 관계자는 “예를 들어 7살 난 아이가 사고로 무릎 관절을 다쳤는데, 20살이 넘어 한쪽 다리가 짧은 기형이 나타나는 경우 의사 진단을 통해 후유장애보험금을 추가로 지급한다. 이때 보험사에 근거가 없으면, 사고 입증 책임이 피해자에게로 넘어가게 돼 어려운 입장에 처할 것”이라고 말했다. 손보협회 등도 보험사의 위험률 산출 등에 개인정보를 장기적으로 활용해야 한다고 밝히고 있어, 대다수의 보험상품이 ‘5년 뒤 파기’에서 예외가 될 것으로 보인다.

금융위원회 서민금융과는 “5년 넘게 보관하는 경우 암호화, 별도 서버 보관 등 추가 안전 조처를 거치게 돼 있다”며 “예외 조항에 대해서 보험업권과 19일 태스크포스(TF)를 꾸려 세부지침을 만들고 있다”고 밝혔다.

정유경 기자 edge@hani.co.kr