주메뉴 바로가기 본문 내용 바로가기

eg(전자정부)이 누리집은 대한민국 공식 전자정부 누리집입니다.

'개인정보 유출 재발방지 종합대책' 이행 점검회의 개최
2014-06-27 조회수 : 10930
담당부서서민금융과 담당자전은주 연락처2156-9670
담당부서서민금융과 담당자 민인영 연락처2156-9670
담당부서서민금융과 담당자 김경수 사무관 연락처2156-9670

1. 회의 개요

 

금융위,금감원 고승범 사무처장 주재로 유관 금융협회 등과 함께 3.10일 발표한 금융분야 개인정보 유출 재발방지 종합대책 후속조치 이행계획 점검을 위한 4차 회의를 개최하였음

 

* 일시/장소 : 2014.6.27(금) 08:30~09:30 / 금융위원회 5층 중회의실

* 참석자 : 금융위 사무처장(주재), 업권 담당과장 /금감원 부원장보, 업권 담당국장 / 은행연합회, 생보,손보협회, 금투협회, 여전협회, 저축은행중앙회, 대부업협회 부기관장 등

 

□ 금일에는 종합대책 발표 이후 ‘14년 상반기 중 추진된 종합대책 이행현황을 주요 과제별로 논의,점검하였음

 

2. 주요 점검내용

 

1

 

금융회사 고객정보보호실태 점검 결과 보고

 

ㅇ 금감원은 고객정보를 보유·활용중인 총 3,050개의 금융회사 및 유관기관(협회 등)의 고객정보보호실태를 점검(1월~)

 

- 금융회사 자체점검 결과*를 토대로 금융업권별 고객정보보호실태 및 취약요인을 분석

 

* 금감원이 배포한 체크리스트(내부통제 6개 항목<19개 세부항목>, IT부문 7개 항목<25개 세부항목>)를 이용하여 금융회사가 자체점검

 

※ 주요 미흡 사례

 

- (내부통제 부문) 고객정보 과다 조회자에 대한 점검기준 부재 및 점검 미실시, 고객정보 외부전송시 통제절차 미흡, 형식적인 정보보안 점검 및 교육, 내부직원 및 외주업체간 직무분리 부재 등

 

- (IT 부문) 퇴직자,인사이동자 등에 대한 사용자권한 삭제조치 미흡, 고객정보 집속기록 보관 및 관리 허술, 보안프로그램 설치 및 업데이트 소홀, 전산실 등 주요시설의 출입자 감시 및 관리소홀 등

 

ㅇ 특히, 56개 기관*에 대해서는 현장점검을 추가 실시하여 고객정보보호 수준을 직접 평가하고(5월~)

 

* 자체점검 결과 고객정보관리가 취약하거나, 고객정보량이 많은 금융회사 등

 

- 6~7월중 정보보호책임자 등을 대상으로 각 금융업권별로 실태점검 분석결과에 대한 설명회 개최를 통해 정보보호 관리기반을 강화할 수 있도록 지도

 

ㅇ 또한, 금번 실태점검 분석결과 추가적인 제도보완 사항이 있는지를 면밀히 검토하여 필요시 반영*할 계획

* (예) 불필요한 고객정보 접근권한 부여에 대한 통제 강화, 외주업체 정보보호 통제를 위한 표준위탁계약서 마련 등

 

2

 

종합대책 상반기 이행현황 점검

 

< ⑴ 개인정보 파기관련 가이드라인 마련 >

 

ㅇ 금융회사의 불필요한 정보보유를 제한하고 정보의 안전한 보관위해 개인정보 파기 및 보관 관련 금융권 공통기준(안)을 마련(5.30일)

 

- 거래종료 후 필수정보 이외*에는 즉시(3개월 이내) 삭제하고 정보이용을 제한**, 거래종료 후 5년이 경과한 정보는 원칙적 모두 파기

 

* 학력, 직업, 직위 등 부가적인 신상정보(다만, 이들 정보가 금융거래 및 관련서비스 제공과 직결된 경우는 제외), 마케팅 목적 정보 등

 

** 영업목적으로 이용되지 않도록 접근통제를 강화

 

- 거래종료 후 5년이 경과한 이후에도 불가피하게 보유하는 경우에는 현재 거래중인 고객정보와 분리하여 엄격히 보관*

 

* (예) 개인신용정보를 별도 DB로 분리, 모든 내부직원의 접근을 제한하고 내부승인을 받은 최소한의 경우에만 제한적으로 접근 가능 등

 

- 금융회사가 제3자에 제공한 정보에 대해 파기대책 마련을 의무화

 

업권별 세부기준이 마련(6월)된 이후 시행하되, 마케팅 자료 등 금융거래와 무관한 자료는 즉시 삭제하고, 거래종료 후 5년이 경과한 정보의 파기는 신용정보법 개정안 시행* 이후 추진

 

* 신용정보의 보유기간을 제한하는 신용정보법 개정안 국회 계류중

 

- 1차 이행점검회의(3.17일)우선적으로 제3자,계열사에 제공한 개인정보에 대한 파기계획을 마련하여 이행하도록 하였으며,

 

- 금번 동 가이드라인 시행을 통해 금융회사가 보유한 개인정보를 자체점검하고 불필요한 정보가 있는 경우 연말까지 삭제하도록 추진

 

- 신용정보법 개정 이후에는 파기 가이드라인의 중요사항 및 기본원칙을 법령에 반영하여 실질적 이행을 확보

 

< ⑵ 개인정보 입수서식 및 제3자 제공 동의서 개선 >

 

금융회사최소한정보만 수집하고 고객도 정보제공 내용을 명확히 인지할 수 있도록 금융권 동의서 양식 공통기준(안)을 마련(5.30일)

 

- 현재 권역별 상품별 30~50개인 수집정보를 “필수사항”(6~10개)“선택사항”구분하고 최소화

 

- 제3자 정보제공시 제공목적, 업체명,수, 제공기간, 파기계획 등을 구체적으로 적시하도록 함

 

금융협회와 금감원간 협의를 통해 각 금융업권별 표준동의서 양식에 대한 세부기준을 마련(6월)

 

동의서 개편과 관련한 시스템 구축기간 등을 고려하여 카드사 우선적으로 가능한 금융업권부터 9월부터 단계적으로 시행

 

< ⑶ 주민번호 과다노출 관행 개선 >

 

ㅇ 주민번호의 노출을 최소화하고, 보관은 엄격히 하는 금융권 공통기준을 마련(5.30일)

 

- 원칙적으로 각종 금융거래 서식에서 주민번호 기재란을 삭제하고, 안전한 주민번호 수집방법*을 사용하도록 함

 

* 주민번호는 고객이 금융회사 전자단말기(key-pad)에 직접 입력하거나, ARS 또는 태블릿 PC 등을 활용하는 방법으로 수집

 

- 비대면 거래시 본인확인원칙적으로 주민번호를 제외한 여타의 고객정보를 활용(이름, 생년월일, 전화번호, 주소 등) 하도록 함

 

금융협회와 금감원간 협의를 통해 각 금융업권별 세부기준을 마련(6월)

 

관련 전산시스템 개발을 통해 12월중 가능한 금융업권부터 단계적으로 시범 시행할 계획

 

< ⑷ 신용조회 중지 요청 시스템 구축 >

 

개인 신용정보의 무단도용 등에 따른 피해(대출사기, 카드 무단발급 등)예방할 수 있는 시스템을 마련

 

- 명의도용 피해 방지 등을 위해 고객이 신용조회회사에 요청하는 경우, 대출, 카드발급 등을 위한 신용조회를 일정기간(30일) 중지*

 

* 중지기간내 고객이 자유로이 해제,차단 가능

 

- 동 기간동안 명의도용이 의심되는 신용조회 요청 발생시 고객에 “지체없이 통지”하고 고객은 해당사실을 확인하여 불법 유출정보를 악용한 제3자 대출 및 카드발급 시도 등을 차단

 

- 정보유출 사고가 발생한 경우 또는 정보유출 관련 피해사실을 수사기관에 신고한 경우 신청 가능*

 

* 유출사고 발생시 금융회사가, 수사기관 신고건은 신용조회회사가 비용 부담

 

7월중 시스템 구축을 완료하여 서비스를 제공할 계획

 

< ⑸ 카드 가맹점 단말기의 IC 전환 >

 

카드결제정보의 보안성 강화를 위해 '14.3월부터 카드사, VAN사 등 관련업계와 공동으로 POS단말기 보안표준* 마련('14.6월)

 

* 암호화된 신용카드 결제정보 전송, 결제정보 저장 금지 원칙 등

 

- 금년 4분기중 일부가맹점의 POS단말기를 대상으로 시범사업 실시 후 단계적으로 전환 추진

 

영세가맹점의 단말기(약 65만대) 전환을 위해 카드사에서 총 1천억원전환기금 조성방안을 마련하였고, '15년말까지 교체 완료 예정

 

가맹점의 동참을 위해 IC결제가 가능한 가맹점에 ‘신용카드 안심결제 가맹점 스티커 부착 등 대국민 홍보 방안을 마련,추진할 계획(4분기)

 

3

 

금융권 사이버 안전대책 이행현황 중간점검

 

< ⑴ 내부 및 외주업체 통제 강화 >

 

IT외부주문 및 내부통제를 강화하고, 해킹 등 침해정보 공유체계 확립 등을 위한 전자금융감독규정 개정안 마련(7월초)

 

* 규정변경예고(7월초) → 규제심사(9월) 등을 거쳐 연내에 시행될 수 있도록 추진

 

- 외부주문 全단계에 걸쳐 지켜야 하는 세부절차와 기준을 마련하고, 개발시스템은 운영시스템과 분리하는 등 물리적 통제 강화

 

* ‘외주용역 일일 체크리스트’를 마련하고 일일점검 실시

 

- 금융회사별 “보안점검의 날”을 지정하도록 의무화

 

* CISO 책임하에 보안점검을 실시하고, CEO에 점검결과 및 보완계획을 보고

 

- 전자적 침해사고 접수창구를 금감원으로 일원화하고, 해킹사고 등 전자적 침해위협 정보의 기관 간 공유체계 강화*

 

* 금감원 ↔ 금융위·침해사고 대응기관 ↔ 금융회사 간 정보공유

 

< ⑵ 모바일 앱 보안 가이드라인 배포 >

 

ㅇ 금융회사의 스마트폰 앱을 통한 금융서비스의 안전성 확보를 위해 스마트폰 전자금융서비스 보안 가이드 배포(금융보안연구원, 7월)

 

* 금융앱 설계·개발 단계, 서비스 제공 단계, 시스템·관리 단계별 보안원칙을 기술

 

3. 향후 계획

 

□ 금융당국은 앞으로도 이미 마련한 대책계획대로 제대로 추진되는지 세부 시행과정을 면밀히 점검하고,

 

ㅇ 이 과정에서 추가적 보완 사항이 있는지를 검토하여 반영해 나가도록 하겠음

 

* 자세한 내용은 첨부파일을 참고하시기 바랍니다.

첨부파일 (2)첨부파일 열림
개인정보_유출_재발방지_종합_대책_이행_정검회의_개최(FN).hwp 파일뷰어 파일다운로드
(보도자료)140627종합대책_이행_4차점검회의_보도자료.hwp 파일뷰어 파일다운로드
콘텐츠 내용에 만족하셨나요?