A half-baked security solution

The government has come up with comprehensive measures to prevent a repeat of the massive leaks of personal information of banking customers. The hurried measures are the financial authorities’ response to the unprecedented leaks in January of the sensitive information of millions of customers at three major credit card companies.

The measures reflected nearly all of the suggestions that have been floated in security circles. The authorities also took a meaningful step toward protecting private information by allowing banking customers to look directly at how their personal data is handled at their financial institutions. Thanks to this remarkable shift, individual customers will have a means of protecting their sensitive information. In another significant development, the measures substantially raised the level of sanctions, including punitive damages, against the banks if customers’ data is leaked to the outside.

However, the measures stopped way short of presenting effective alternatives for replacing the resident registration numbers customers must offer before opening an account. The measures also show their intrinsic limit because they only stipulated nominal damages for the leaks - a “symptomatic therapy” aimed at preventing a recurrence instead of demonstrating a strong resolve to proactively protect banking customers’ sensitive information. Therefore, they can hardly be regarded as a government-level measure as it applies to the financial sector only. Despite the frequent occurrence of data leaks in areas other than the financial, the government still tries to confine the measures to the financial sector.

Information leaks in the non-financial sector nearly always cause secondary damage to the financial field via diverse schemes like voice phishing, smishing and illegal telemarketing. We have repeatedly urged the government to prepare effective measures to safeguard customers’ information not only in the financial area, but also for public corporations and private companies that regularly collect and manage a huge amount of citizens’ personal information. The government must find ways to check the current status of information management at telecommunication companies, Internet portals, department stores and post offices to reinforce security there.

JoongAng Ilbo, March 11, Page 30

정부가 금융분야의 개인정보 유출 재발방지 종합대책을 내놨다. 지난 1월 3개 신용카드사에서 대규모 개인정보 유출사고가 터진 뒤 부랴부랴 만든 종합대책이다.
일단 당시 거론됐던 재발방지 방안은 거의 반영됐고, 내용이 구체화됐다는 점에서 금융분야에서의 개인정보 보호는 어느 정도 이뤄졌다고 할 수 있다. 특히 금융사에 제공한 개인정보가 어떻게 이용되고 있는지를 당사자가 직접 조회하고, 철회할 수 있도록 한 것은 중요한 변화다. 개인이 스스로 자신의 개인정보를 보호할 수 있는 권한과 수단을 강화한 것이기 때문이다. 또 고객의 개인정보가 유출됐을 경우 금융사에 대해 징벌적 과징금을 포함한 금전적ㆍ물리적 제재수위를 크게 높인 것도 주목된다.
그러나 개인정보 유출의 가장 기본적인 요소인 주민등록번호의 대체방안에 대해서는 근본적인 대안을 제시하지 못한데다, 개인정보 유출로 인한 금융소비자 피해의 구제방안이 선언적인 수준에 그친 점은 이번 대책의 한계를 그대로 보여준다. 개인정보 유출사고의 재발방지라는 소극적인 대증요법에 치중했을 뿐, 국가차원에서 개인정보를 적극적으로 보호하겠다는 의지가 보이지 않는 것이다. 무엇보다 이번 대책이 금융분야에 한정됐다는 점에서 범정부차원의 종합대책이라고 하기엔 미흡하기 짝이 없다. 개인정보 유출사고가 금융분야 이외에서도 빈발하고, 또 그 피해가 금융분야와 연관되어 일어나고 있는데도 대책의 범위를 금융분야에 국한시킨 것이다.
금융거래정보가 포함된 비금융권의 정보유출사고는 금융권에서의 2차, 3차 피해로 이어질 수 밖에 없다. 보이스피싱과 스미싱, 불법 텔레마케팅 등이 그것이다. 이 때문에 우리는 금융권 이외에 개인정보를 대량으로 수집, 관리하는 공공기관과 기업체에 대한 일제점검과 함께 이들을 포함한 범정부 차원의 종합적인 개인정보 보호방안을 마련할 것을 촉구했다. 특히 개인정보의 대량 수집과 이용이 일반화된 통신사와 인터넷포털 업체, 백화점과 대형마트 등, 우체국 등에 대한 개인정보 관리실태의 점검과 보안대책 마련이 시급하다.