감사원은 카드사 개인정보 유출과 관련해 경제정의실천시민연합 등 시민단체가 청구한 공익감사를 실시한 결과 이 같은 사실을 적발해냈다고 28일 밝혔다. 감사원에 따르면 금융감독원은 지난 2012년 농협은행 종합검사 당시 농협이 신용카드 부정방지사용 시스템(FDS) 개발을 코리아크레딧뷰로(KCB)에 위탁하면서 변환하지 않은 개인정보를 제공한 사실을 알고 있었다. 또 당시 농협은행이 KCB의 컴퓨터에 자사 단말보안프로그램을 제대로 설치하지 않은 사실도 함께 적발했다.
하지만 금감원은 농협이 관련 프로그램을 구축 중이라는 이유로 미변환 정보제공에 대한 문제점을 조사하지 않았으며 보안프로그램 설치에 대해서는 전체 PC 533대 중 1대만 점검하고서는 모두 설치됐다고 판단했다. 이 같은 부실 감독의 허점을 노린 KCB의 박모 차장은 2012년 6월부터 반년 동안 농협은행에서 모두 2,427만건의 개인정보를 빼냈다. 그는 또 보안프로그램이 제대로 설치되지 않은 PC를 이용, 지난해 12월 롯데카드에서 1,967만건의 개인정보를 추가로 유출했다. 이 직원은 금감원이 금융회사들의 서면보고 사항 허위작성을 적발하고도 여전히 같은 방식의 검사를 실시한다는 것을 이용해 국민카드에서도 개인정보 4,450만건을 무단 유출했다.
금융위원회는 금융회사의 개인정보 제공과 관련한 개선안 마련에 늑장을 부리거나 개선안을 마련하고서도 제대로 감독하지 못해 개인정보 유출 사태를 키운 것으로 드러났다. 금융위는 금융회사가 개인정보 제공시 이를 승인하는 업무를 담당하지만 56개 금융회사 중 49개사가 관련 승인을 받지 않은 사실을 알아차리지 못했다. 금융위는 또 2011년 개인정보보호법이 제정된 후 후속조치로 '개인정보 보고 시행 계획'을 수립하면서 관련 내용을 제대로 반영하지 않다가 카드 3사의 정보유출 사태 발생한 후 뒤늦게 규정을 개정했다. 이외에도 금융위는 2012년 62개 금융회사를 대상으로 '금융권 개인정보 수집·이용실태 종합점검'을 하면서 과도한 개인정보 수집 등의 문제점을 파악하고 개선방안을 수립했지만 이를 제대로 감독하지 않았다. 이 같은 금융위의 개인정보 관리 소홀로 국민카드·농협은행·롯데카드가 보유한 파기 대상 개인정보 2,649만건이 유출된 것으로 감사원 감사 결과 밝혀졌다.
