‘IT위탁규정’ 제정·시행 후 여전히 불분명한 문제 많아

[보안뉴스= 최은경 김·장 법률사무소 변호사] 2011년 7월 1일 및 2012년 3월 15일에 각각 발효된 한국-유럽연합 및 한국-미국 자유무역협정(Free Trade Agreement)에 따라 우리나라는 발효 후 2년의 유예기간이 경과하는 시점부터 금융회사가 일상적인 영업과정에서 요구되는 경우 한국 영역 밖으로 정보를 이전하는 것을 허용하기로 약정했다.1)

1) 한-EU 및 한-미 FTA 협정문에는 “각 당사국은 다른 쪽 당사국의 금융회사가 그 기관의 일상적인 영업과정에서데 이터 처리가 요구되는 경우 그러한 처리를 위해 자국 영역 안과 밖으로 정보를 전자적 또는 그 밖의 형태로 이전하는 것을 허용한다. 대한민국은 이 협정 발효일 후 2년 이내에 이 약속에 효력을 부여한다”고 규정돼 있다.
이를 위해 2013년 6월 19일 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’(이하 ‘IT위탁규정’)이 제정·시행됐으며, 2014년 4월 21일 IT위탁규정에 의거해 금융위원회에서 한국씨티은행의 전산설비 국외위탁을 승인한 첫 사례가 나옴에 따라 앞으로 금융회사들의 정보처리 및 전산설비 국외위탁이 본격화할 전망이다.

그러나 IT위탁규정이 실행된지 얼마 되지 않았고, 참고할 만한 선례도 축적되지 않은 탓에 여전히 불분명하거나 해결이 필요한 문제들이 산적해 있다. 이하에서는 금융회사들이 정보처리 및 전산설비를 국외에 위탁하는 경우와 관련한 여러 문제들에 대해 간략히 살펴보기로 한다.

금융실명거래 및 비밀보장에 관한 법률(이하 ‘실명법’)과 관련해 금융위원회는 외국 금융회사의 한국 자회사나 지점이 자신의 전산처리 업무를 외국에 있는 본사에 위탁하는 경우, 원칙적으로 거래정보 등을 제공하기 위해서는 명의인의 서면상의 동의가 필요하다는 입장이다. 한편, 금융위원회의 다른 유권해석에 의하면 실명법상 동의는 포괄적 동의가 아니라 개별적 특정 거래에 대한 동의로서 동의서 1회 징구로 1회의 정보제공이 가능하다.

문제는 정보처리 내지 전산설비의 위탁(이하 ‘IT위탁’)과 같이 정보의 제공이 수시로 그리고 지속적으로 이루어지는 경우에는 특정 거래마다 개별적으로 동의서를 징구하는 것이 불가능하다는 점에 있다. 이와 같은 문제점 때문에 현재 많은 금융회사들은 과거 재정경제부와 협의한 동의서 양식에 따라 포괄동의서를 징구하고 있는데, 이는 일종의 미봉책에 불과하므로 보다 근본적인 해결이 필요하다.

신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’)에 의하면, 컴퓨터를 이용해 신용정보를 입력·저장·가공·편집·검색·삭제 또는 출력하는 행위를 자본금 1억원 이상 등 일정한 요건을 갖춘 자에게 위탁할 수 있으며, 그 경우 정보 제공에 대한 동의는 필요하지 않지만, 신용정보 보안관리 대책을 포함하는 위탁계약서를 체결하고 정보의 제공 사실 및 이유 등을 정보주체에게 서면 등으로 알려야 한다.

이 때 주민등록번호도 동의 없이 제공할 수 있는지에 대해서 개인정보보호법상 고유식별정보의 처리 제한과의 관계가 문제될 수 있으나, 아래에서 보는 바와 같이 IT위탁규정에 따라 고유식별정보의 국외위탁이 금지되므로 논의의 실익이 없다고 생각된다.

전자금융거래법과 관련해서 금융회사들은 보안성 심의를 거치고 외부주문 등에 대한 기준을 준수해야 하는 등의 의무를 부담하는데, 이 때 전자금융거래를 하지 않는 금융회사들도 그와 같은 의무를 부담하는지에 대해서 논의가 있으나, 단견으로는 2013년 5월 22일 개정된 전자금융거래법의 입법취지상 전자금융거래를 하지 않는 금융회사들은 그와 같은 의무를 부담하지 않는다고 해석하는 것이 타당하다고 생각한다.

IT위탁규정의 제정·시행으로 기존 금융기관의 업무위탁등에 관한 규정(이하 ‘업무위탁규정’)은 ‘정보처리 및 전산설비 위탁에 관한 사항은 제외’하는 것으로 개정됐다. 그럼에도 불구하고 예를 들어 예금 업무와 관련된 정보처리 및 전산설비를 위탁하는 경우, 예금계약 체결행위라는 본질적 요소를 위탁할 수 없음은 자명하다. 따라서 정보처리 및 전산설비의 위탁이 수반되는 업무위탁에 있어서 업무위탁규정을 어느 범위에서 어느 정도로 적용해야 하는 것인지 명확히 할 필요가 있다. 이는 아래에서 살펴볼 IT위탁규정의 적용범위와도 관련이 있다.

IT위탁규정의 최초 시행시에는 IT위탁규정이 적용되는 경우를 금융회사의 IT전담부서 및 IT인력들이 처리하는 업무만을 위탁하는 경우에 한정하는 것처럼 보였으나, 최근 금융당국은 이에 국한되지 않고 전산설비에 의해 자동화된 방식으로 처리하는 업무 및 그와 같은 전산설비의 위탁이 수반되는 다양한 업무위탁의 경우에 IT위탁규정을 적용하려는 입장으로 이해된다.

어떤 경우에 IT위탁규정에 따른 보고 내지 승인 등의 절차를 거쳐야 하는지에 대해 금융회사의 예측가능성을 확보하기 위해서는 IT위탁 규정이 적용되는 범위를 확정해주는 것이 필요하다.

또한, 금융거래정보가 저장된 원장 설비의 국외위탁을 제한할 수 있고, 정보처리 내지 전산설비의 재위탁의 경우 금융거래정보가 원수탁업자의 데이터센터 내에 존재해야 하고 재수탁업체의 사무실 등 제3자의 장소로 이전돼서는 안 된다.
 
이와 관련해 어느 정도로 비식별화 처리가 돼야 금융거래정보에 해당하지 아니하여 위와 같은 제한을 받지 않는지에 대한 의문점도 금융회사 사이에서는 초미의 관심사항이다. 한편, 앞에서도 언급한 대로 IT위탁규정에 의하면 개인고객의 고유식별정보는 해외로의 이전이 금지된다.
[글_ 최은경 김·장 법률사무소 변호사(eungyung.choi@kimchang.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>