금감원, 신협중앙회 개인정보 누출에 28억 과징금 부과
by최정훈 기자
2024.12.12 08:23:24
2019년 중앙회 직원이 개인정보 1.8만건 이메일 전송
업무외 목적 전송이라 판단…내부통제 미흡 등 확인
[이데일리 최정훈 기자] 지난 2019년 발생한 신용협동조합중앙회(신협중앙회)의 개인신용정보 누출사건에 대해 금융감독원이 중징계 처분을 내렸다.
12일 금융권에 따르면 금감원은 최근 개인신용정보 누출 사건이 발생한 신협중앙회에 대해 중징계에 해당하는 ‘기관경고’와 함께 과징금 28억 7200만원, 과태료 1억 1360만원을 부과하는 제재조치를 내렸다. 아울러 금감원은 퇴직자를 포함해 신협중앙회 직원 6명에 대해서도 면직, 정직 등의 징계 조치를 할 것을 권고했다.
앞서 지난 2019년 1월 신협중앙회 지역본부 소속의 순회감독역이었던 A씨가 퇴직 후 단위신협의 감사로 자리를 옮기면서 개인신용정보 1만8465건이 담긴 업무 관련 파일을 해당 조합의 직원에게 이메일로 전송하는 사건이 발생했다. A씨는 참고 목적으로 기존에 수집한 문서를 전달한 것이지만, 금감원은 업무 외 목적으로 개인정보를 누설한 것이라고 봤다.
이어 금감원 검사 결과, 신협중앙회가 개인정보 유출 방지를 위한 내부통제 시스템을 제대로 구축하지 않은 사실도 확인됐다. 신협중앙회는 업무용 PC에 고객 및 임직원이 개인정보를 암호화하지 않고 평문으로 저장했고, 개인정보를 개별조합에 전송하면서도 관련된 승인절차를 마련하지 않았다. 망분리도 제대로 이뤄지지 않아 내부망 PC 일부가 위험성 평가 및 내부 정보보호위원회의 승인을 받지 않고도 외부 인터넷 사이트로 접속할 수 있었다.
금감원은 신협중앙회가 “개인신용정보 처리실태 및 관행에 대해 정기적인 조사·개선 및 내부통제절차를 구축하지 못했다”며 이로 인한 퇴직예정 직원이 개인신용정보를 업무 외 목적으로 부당 유출했음에도 이를 사전에 인지 또는 차단하지 못했다고 판단했다.
또 신협중앙회는 개인정보가 누출되는 사건이 발생했음에도 이 사실을 즉각 금감원에 알리지 않았다. 관련 규정상 1만명 이상의 개인신용정보가 누출됐음을 인지했을 때는 ‘누설신고서’를 금감원에 제출해야 한다.