[파이낸셜뉴스] 개인신용정보 관리를 소홀히 해 1만8000여건의 개인정보가 유출된 신협중앙회가 금융당국으로부터 기관경고와 과징금 28억여원 등의 중징계를 받았다.
13일 금융당국에 따르면 금융감독원은 최근 신협중앙회에 대해 중징계에 해당하는 '기관경고'와 함께 과징금 28억7200만원, 과태료 1억1360만원 등을 부과했다.
직원 2명에 대해서는 각각 정직 3개월과 주의 조치를, 퇴직자 4명에 대해서는 면직·견책·감봉·주의 등에 해당하는 위법·부당 사항을 통보했다.
금감원에 따르면 신협중앙회 직원이었던 A씨는 지난 2019년 1월 개인신용정보 1만8465건이 포함된 문서를 퇴직 이후 감사로 이직할 예정이었던 지역 신협의 직원에게 그룹웨어 내 이메일로 60회 걸쳐 전송했다. A씨가 유출한 개인신용정보는 조합원명과 여신계좌번호, 여신 취급액 및 잔액 등이었다.
A씨는 이직 예정인 지역 신협에서 감사업무에 참고하기 위해서라고 설명했지만 이는 신용정보법 위반에 해당한다고 금감원은 판단했다. 신용정보법 42조 등에 따르면 신용정보 처리를 위탁받은 신용정보업관련자가 업무상 알게 된 타인의 신용정보를 업무 목적 외에 누설·이용하는 것이 금지된다.
신협중앙회는 개인정보 유출방지를 위한 내부통제 시스템도 미흡했던 것으로 나타났다.
신협중앙회는 2019년 1월부터 2021년 12월까지 내부 업무용 PC에 고객 및 임직원의 개인신용정보를 암호화하지 않은 채 저장한 것으로 확인됐다.
보관 중인 개인신용정보를 중앙회 그룹웨어 내 이메일을 통해 외부법인인 개별조합으로 전송하는 과정에서 사전 승인절차 등 통제대책도 두지 않은 것으로 나타났다.
금감원은 "이로 인해 퇴직예정이던 직원이 개인신용정보가 포함된 조합검사서, 민원조사서 등을 업무목적 외로 부당 유출했는데도 중앙회가 이를 사전에 인지 또는 차단하지 못했다"고 지적했다.
신협중앙회는 또 2019년 9월부터 2022년 4월까지 업무상 편의를 위해 전체 임직원의 내부망 PC에서 36개 외부 인터넷 사이트로 접속할 수 있도록 허용하면서도 위험성 평가 및 내부 정보보호위원회 승인을 받지 않아 망분리 규제를 위반한 것으로 드러났다.
비용절감과 관리 편의를 위해 전산실(내부망)과 외부망에 설치된 서버에서 내·외부망 작업을 서로 구분하지 않고 수행한 사실도 확인됐다.
또한 신협중앙회는 1만명 이상의 개인신용정보가 업무 목적 외로 누설된 사실을 확인한 즉시 금감원에 누설신고서를 제출하고 신용정보 주체에게는 누설 사실을 통지토록 한 신용정보법도 지키지 않았다.
한편 신협중앙회 2018년 5월 25일부터 2020년 4월 7일까지, 그리고 2019년 12월 26일부터 2020년 5월 8일까지 상환준비금으로 상장주식 등의 편입비율이 40% 이하인 '전문투자형 사모증권투자신탁'과 '전문투자형 사모증권투자신탁'을 매입·보유한 것으로 확인됐다.
이 중 전문투자형 사모증권투자신탁은 2019년 12월 16일부터 2020년 1월 31일까지 상장주식 등의 편입비율 한도 30%를 최고 1.57%p 초과한 것으로 나타났다.
sjmary@fnnews.com 서혜진 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지