금융감독당국 수장들에게 신용카드사 개인정보 유출의 책임을 물어야 한다는 얘기가 벌써부터 나오는 것은 지나치다. 현재 이들에게 요구할 것은 책임이 아니라 비상시의 대처능력이다. 패닉으로 비칠 정도로 혼란스러운 현재 상황을 진정시킬 수 있는 시간을 줘야 한다. 그리고 그들이 신속하고 제대로 대처하는지 지켜볼 일이다. 이후 능력 부족이 확인된다면 이들에게 책임을 묻는 게 수순이다. 만약 금융회사의 개인정보 관리·감독에 소홀했던 점이 있었다면 이를 시간을 갖고 따져보고 그 결과에 따라 책임을 물으면 될 것이다.
하지만 아쉽게도 최근 전개되는 추이를 보면 책임을 따지기보다는 희생양을 찾는 분위기다. 희생양을 통해 격앙된 감정만 추스르면 된다는 식이다.
금융감독당국의 관리·감독 및 책임 문제도 좀 더 깊이 따져봐야 한다. 이번 신용카드사 개인정보 유출은 카드사에 보안시스템을 구축해주는 개인신용평가회사 KCB의 직원 박모씨가 지난해 2월부터 이동식저장장치(USB)를 이용, 고객정보를 빼내 팔아넘기면서 시작됐다. 박씨는 이후 3개 신용카드업자(KB국민카드, 롯데카드, 농협카드)로부터 거의 1년 동안 1억건의 개인정보를 빼내 광고대행업자와 대출모집인들에게 팔았다. 검찰의 중간 수사 발표 내용은 여기까지다.
검찰의 발표 내용대로라면 3개 신용카드사는 개인정보 관리를 소홀히 한 책임이 있다. 외부직원이 USB에 개인정보를 담아갈 정도로 내부통제시스템이 엉망이었다. 초보적인 보안의식조차 없었고 기본적인 보안 매뉴얼마저 지키지 않아 결국 고객들의 개인정보를 도둑 맞았다.
그러나 적어도 이번 건만큼은 금융회사와 금융감독당국의 책임 문제를 구분해 살펴볼 필요가 있다. 금융회사나 금융소비자가 직접적으로 손해를 입는 일반적인 대형 금융사고와 이번 사고는 색깔이 좀 다르다. 저축은행 부도로 고액의 예금자나 후순위채 투자자들이 손해를 입거나 동양그룹의 기업어음(CP) 및 회사채 불완전판매로 소비자가 피해를 본 금융사고와 동일한 잣대로 평가하기 어려운 범죄 사건이다.
물론 금융기관 관리·감독에 대한 금융감독당국의 책임은 폭넓게 인정되어야 한다. 우리나라에서 금융감독당국이 갖는 권한과 위상은 그만큼 크기 때문이다. 하지만 도둑 맞는 일까지 관리·감독할 수 있는 능력을 금융감독당국에게 요구하는 것은 적절치 않다. 금융정책을 세우고 금융기관 건전성 감독에 주력해야 할 감독당국에 도둑 잡는 데 업무를 집중하라고 요구하는 것은 감독역량의 적절한 배분 차원에서도 바람직하지 않다. 아울러 이번 개인정보 절도 사건과 감독당국의 관리·감독 책임 간 인과관계도 약해 보인다. 현재까지 드러난 사실로만 보면 이번 사건은 금융감독당국이 사전에 예측하기 어려웠다는 판단이다.
시간을 갖고 감사원 등을 통해 금융감독당국의 관리·감독 소홀 여부를 살펴본 후 책임 여부를 따져볼 일이다. 지금은 불안한 심리를 잠재우고 개인정보 관리의 중요성을 다시 한번 사회 전반에 널리 확산시키며 재발 방지를 위한 예방책을 철저히 세우는 데 주력할 때다.
yongmin@fnnews.com 김용민 산업2부장
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지