[이데일리 김인경 기자] 금융회사들이 개인신용정보를 제대로 관리하고 보호하는지 상시적으로 점검하고, 그 결과에 점수·등급을 부여하는 ‘정보보호 상시평가제’가 내년 2월부터 시행된다.
5일 금융위원회는 현재 정보보호 점검 기준이 지나치게 포괄적인 만큼, 이를 정보의 생애주기에 맞춰 9개 대항목 143개 소항목에 이르는 구체적인 기준을 마련한다며 이같이 밝혔다.
현재 은행과 카드사, 보험사, 금융투자, 상호금융, 대부업체, CB사와 마이데이터 업체까지 3000여개의 금융기관이 있지만, 금융당국의 인원이 한정된 만큼 정보보호 실태를 체계적으로 보호하긴 힘들다. 이에 당국은 점검 가이드라인 등을 마련해 금융사 스스로 정보보호 수준을 진단할 수 있는 기준을 만들었다.
먼저 이번 정보보호 수준 진단은 정보생애주기에 따른 전반적인 상황을 점검하도록 9개 대항목, 143개 소항목으로 정밀하게 제시한다. 정보의 생애주기는 △동의원칙 △수집 △제공 △보유·삭제 △권리보장 △처리위탁 △관리적 보호조치 △기술적 보호조치 △가명정보 보호조치로 이뤄진다.
이 과정마다 부여된 과제 143개를 이행, 부분인행, 미이행, 해당없음 4단계로 나눠 점수를 매기는 게 ‘상시평가제’의 골격이다. 또 새로 도입되는 제도를 체계적으로 관리하고 파악할 수 있도록 가명정보 처리, 전송요구 이행, 데이터 결합 등에 관한 기술적·관리적 정보보호 조치에 대한 이행 여부도 상시평가제 항목으로 들어간다. 특히 가명정보와 추가정보를 분리보관하는지, 전송요구와 철회 이행 현황이 어떻게 구성되는지, 데이터 전문결합을 통해 결합을 했는지 등을 살펴야 한다.
금융당국은 일정 기간 점수가 우수하고, 정보보고 관련 사고가 없는 기업에는 ‘안전성 인증마크’도 부여한다. 안전성 인증마크가 있으면 사고 발생시 제재 감면 등의 혜택을 받을 수 있다.
이와 함께 금융당국은 전문기관인 자율규제기구 금융보안원을 통해 금융권 정보실태 점검을 할 계획이다. 금융사의 자체평가와 금융보안원의 점검 및 등급 부여, 당국의 감독·검사 등 3단계로 정보보호실태를 점검해 사고를 막겠다는 게 당국의 계획이다.
금융위는 “정보보호 상시평가제로 인공지능 등 신기술 출현과 가명정보 도입 등 새로운 데이터 처리환경에서도 일관성 있고 안전한 정보보호로 국민의 신뢰성을 제고할 수 있을 것”이라고 기대했다.
금융위는 상시평가제 시행을 앞두고 지원시스템을 내년 1월까지 시범운영 한다. 금융보안원 역시 평가 방법 등을 담은 가이드라인을 금융권에 배포할 계획이다. 이후 2월 4일부터 정보보호 상시평가제가 본격 시행된다.