개인정보 유출 사태로 요란한 대책이 쏟아지지만 현장에서는 부실하다는 지적이 끊이지 않고 있다. 특히 대통령의 말 한마디에 정부 부처가 서둘러 대책을 만들다 보니 현실성이 떨어진다는 우려가 일고 있다. 정보기술(IT) 업계의 한 관계자는 29일 "기업에서 이뤄지는 복잡하고 많은 데이터의 흐름에 대해 실무적 경험이 없는 정부 관계자가 즉흥적으로 만든 지침은 별 효과가 없다"면서 "정부와 정치권이 실제 개인정보 유출과는 전혀 문제가 없는 일에 집중하고 대충 여론을 돌려 넘어가려고 하는 태도에 답답함을 느낀다"고 지적했다.
◇금융회사 전수조사 제대로 될까=금융감독원은 오는 2월3일부터 전체 금융회사의 개인정보 관리 실태를 특별점검한다. 개인정보 유출 사고를 일으킨 후 2월 초까지 검사가 진행되는 국민카드·롯데카드·농협카드를 제외한 나머지 전업카드사가 우선 대상이다. 이에 따라 삼성·신한·현대·하나SK·우리·비씨카드는 기한 없이 현장검사를 받는다. 금감원은 이들 카드사에 대한 점검을 통해 밴(Van)사, 가맹점, 제휴사 등에 대한 정보 불법유통 가능성도 파악할 계획이다.
이 밖에도 금감원은 은행 18개사, 보험사 55개사, 증권사 62개사, 저축은행 91개사, 새마을금고 및 농수신협 지역조합 3,050곳 등 전 금융사에 정보관리 실태를 자체 점검하도록 했다.
전체 금융회사에 대한 점검은 박근혜 대통령이 지난 27일 수석비서관회의에서 "문제가 된 3개 카드사 이외 다른 회사에서는 개인정보 유출이 없었는지 전 금융회사를 대상으로 철저히 조사하라"고 지시한 데 따라 전격 이뤄진 조치다.
문제는 이번 특별점검이 개인정보 수집과 이용 보관 등 주로 전산업무에 관한 내용이어서 자칫 부실점검이 될 수 있다는 점이다.
금감원은 국제공인정보시스템감사자격증 소지자 등 원내에 IT 전문가를 중심으로 30여명 규모의 특별점검반을 꾸렸다. 그러나 금감원이 직접 검사하기 어려운 대부업체나 새마을금고 등에는 체크리스트를 보내 자체 점검하도록 하면서 제대로 검증이 되겠느냐는 의문이 일고 있다. 이런 우려에 대해 금감원은 여신전문회사 등 일부 업권에는 인터넷진흥원 등 전문기관에 개인정보 유출 여부를 확인 받으라는 지침을 내렸다. 금융계의 한 관계자는 "로그인 기록 등 전산업무에 대해서는 외부 IT 전문가가 잡아내는 게 더 빠르다"면서 "금융회사는 물론 금융당국도 상경계 일색이어서 IT업무에 관심도 없고 이해도도 낮다"고 말했다.
◇위에서 내려온 대책, 현실에 적용 안 돼=금융위원회 등 관계부처가 매일같이 내놓는 대책의 일부는 현장에서 제대로 적용되지 않거나 업계의 반발을 사고 있다.
일례로 정부는 지난해 8월 발표한 개인정보 보호 가이드라인에 개인정보가 유출돼도 활용할수 없도록 암호화하게끔 했다.
그러나 이에 대해 IT 전문가는 "내부직원이나 전산 전문가라면 암호화를 걸어도 유출할 수 있다"면서 "민감한 정보를 다른 데이터베이스에 격리해 보관하거나 실제 사용하는 정보와 그렇지 않은 정보를 나눠 관리하면 불필요한 관리부담이 줄어들며 민감한 정도에 따라 등급을 매기는 것도 방법"이라고 설명했다.
또한 3개 카드사의 사고가 알려진 직후 금융당국은 해당 카드사가 개별고객에게 피해사실을 e메일과 전화로 알릴 것이라고 밝혔다. 그러나 개별통지가 시작된 24일 이후 국민카드는 한 건의 서면통지도 하지 않았다.
그 밖에 개인정보 유출을 악용해 전화와 인터넷을 통한 금융사기를 벌이는 보이스피싱이나 스미싱에 대한 대처도 미흡하다. 현재까지는 불법대출 광고 전화번호에 대해서만 금감원과 경찰청의 확인을 거쳐 일주일 이내 정지할 수 있다. 그 밖에 보이스피싱의 경우 인터넷진흥원을 통해 해당 홈페이지만 접속을 차단할 수 있다.
금융사기를 안전행정부와 금융위·방송통신위원회가 제각각 다루다 보니 피해자 입장에서 한 곳에서 상담과 신고 및 차단을 하기가 어려운 것이다.
기존 원칙을 지키지 않은 원인부터 따져야 한다는 목소리도 나온다. 롯데카드는 외부저장매체인 USB 사용을 금지하지 않았고 국민카드는 외부 컴퓨터를 사용한 뒤에는 해당 내용을 지우는 포맷 과정을 제대로 점검하지 않는 등 기존 대책을 준수하지 않았다. 금융회사의 한 관계자는 "정부가 엄청나게 복잡해진 개인정보 관리를 모두 주도하지 말고 개인정보 보호 관리 부실에 대한 처벌을 강화하고 기업 간 개인정보 유통에 대한 큰 틀의 지침만 정하면 나머지 실행은 기업이 책임지고 해야 오히려 실효성이 높아질 것"이라고 강조했다.