일부 개인정보보호 정책 및 법률, 현실적으로 준수하기 어려운 점도
정책 및 법제도 수립 시 업무현장 상황에 대한 세심한 검토 필요

[보안뉴스=김종현 KB국민은행 CISO/상무] 강화된 개인정보보호 정책 시행으로 개인정보 수집을 최소화하기 위한 각종 신청서와 개인정보 활용 동의서 개편, 민감정보(결혼기념일, 종교, 취미, 최종학력 등) 수집금지, 주민번호 과다노출 관행 개선 등 사고재발 방지를 위해 많은 개선활동이 일어났다.


KB국민은행은 2,600종의 신청서 양식을 통·폐합했고, 고객권리 강화를 위해 상품별 동의서를 신설했으며, 거래필수정보와 선택정보에 대한 동의서 분리를 통해 기존 4종의 동의서(비여신, 여신, 정보제공, 마케팅)를 10종의 동의서(비여신 필수·선택, 상품별 필수·선택, 정보제공 필수·선택 등)로 세분화했다.

이는 고객이 관행적으로 정보제공을 동의하는 습관을 바꾸기 위해 정보제공 범위와 제공동의 목적을 명시하도록 동의 내용을 명시하고, 충분히 이해할 수 있도록 동의서 양식을 변경한 것이다. 또한, 은행 내부 거래시스템의 주민번호 처리방식을 변환하는 대규모 작업을 통해 KB-PIN과 같은 주민번호대체 번호를 활용해 거래수행 시 주민번호 사용을 최소화하고 있다.

그러나 일부 개인정보보호 정책 및 법률들은 영업현장에서 업무과다 등의 사유로 현실적으로 준수하기 어려운 점들이 있다. 예를 들면 지문정보는 민감정보에 해당되어 기존에 수집한 지문정보를 모두 파기해야 한다는 권고안이 있다. 2015년 2월부터 주민등록증 뒷면의 지문정보를 수집하고 있지 않지만, 이미 수집하여 보관된 주민등록증 사본 뒷면의 지문정보는 수작업을 통해 일일이 찾아내야 한다.

대형 은행들은 검색해야 할 대상문서가 1억 건이 넘고, 문서보관소가 전국에 산재되어 있기에 보관지문정보 삭제를 위해 수백억의 비용과 많은 시간이 소요되므로 현실적으로 보관중인 지문정보를 모두 폐기하는 것은 어렵다.

주민등록증 뒷면의 현 주소확인 작업을 주민등록등본 확인으로 대체하고 있기에 수집된 지문정보 폐기를 위한 현실적인 법 적용을 고려할 필요가 있다. 개인정보 유출 시에도 개인정보의 해독을 어렵게 하기 위한 ‘주민등록번호 DB 암호화’는 막대한 비용 및 기간이 소요되는 대규모 전산화 사업이다.

이를 고려하여 법 적용 유예기간 연장이 필요하다는 은행권의 공동의견을 제시했지만, 2년의 유예기간(2018.1.1)이 대안으로 고려되고 있다. 그러나 은행의 전체 시스템을 구조적으로 변경하는 차세대 시스템 구축 프로젝트를 추진하고 있는 은행 사정상 대규모 전산투자 일정을 주민번호 암호화 작업 때문에 변경하기 어려운 측면도 있는 게 사실이다.

금융회사들의 규정의 일괄적용에 대한 어려움을 해결하고, 실질적인 법규준수를 위해서는, 정책 및 법제도 수립 시 업무현장 상황에 대한 세심한 검토가 필요하고, 제도 시행도 현실을 고려한 시행일정 수립과 예외사항을 고려한 적용범위 선정이 요구된다.

예를 들어, 민원 시스템에서 주민등록등본 발급 시 가족구성원의 주민등록번호를 선택적으로 표시하도록 민원인에게 미리 홍보가 된다면, 불필요한주민등록번호의 노출을 근본적으로 예방할 수 있고, 더불어 영업점 직원들이 일일이 수작업으로 주민번호 뒷자리를 지워서 보관하는 행위를 하지 않아도 될 것으로 본다.

개인정보는 반드시 보호되고 관리되어야 하지만, 개인정보보호를 위해 개인정보 수집을 원칙적으로 막을 수는 없듯이, 개인정보보호가 금융 산업 발전과 병행할 수 있도록 운영의 묘를 살리는 지혜도 필요하다.

이제는 기존 업무를 수행하면서 개인정보가 오남용 되거나 과다하게 노출되어 오던 관행을 없애고, 현실적인 규정이나 제도가 보다 효과적으로 운영할 수 있도록 신중한 접근이 필요한 시점이다.
[글_ 김종현 KB국민은행 CISO/상무(girasong@naver.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>