개인정보 부실관리 재범인데… 과태료 1300만원 깎인 농협중앙회

농협중앙회, 2019년에 이어 지난해에도 개인신용정보 미삭제 위반
제재 심의서 과태료 1300만원 깎여… 금감원 "운영상 어려움 고려"

농업협동조합중앙회 금감원 제재 이력/그래픽=이지혜

개인신용정보 2000만건을 부실 관리한 농업협동조합중앙회가 금융당국 제재 과정에서 과태료 1300만원을 감경받았다. 농협중앙회는 2019년에도 같은 잘못을 저질러 과태료 처분을 받았으나 '5년 이내 동일 법규 위반 시 가중 처벌'이 적용되지 않았다.

3일 금융당국에 따르면 금융감독원은 지난해 10월 진행한 '제30차 제재심의위원회'에서 농협중앙회에 4300만원 과태료를 부과한다는 제재 조치안을 수정 의결했다. 과태료는 기존 제재안보다 1300만원 감경된 3000만원으로 확정됐다. 농협중앙회는 지난 6월 3000만원 과태료 처분과 더불어 임원 제재(주의)를 받았다.

농협중앙회는 금융거래 등 상거래 관계가 종료된 고객의 개인신용정보를 삭제하지 않았다. 신용정보법에 따르면 개인신용정보는 상거래가 종료된 날로부터 5년 이내 삭제해야 하며 상법에선 최장 10년까지 보존할 수 있다고 명시한다. 그러나 농협중앙회는 2018년 11월24일부터 지난해 4월28일까지 보존기간 10년이 지난 1955만6276건의 개인신용정보를 삭제하지 않았다.

농협중앙회는 상거래 관계가 종료된 이용자의 개인신용정보 1964만6188건을 다른 고객 정보와 별도로 분리해 보관하지도 않았다. 이는 신용정보법 제20조의2 제1항을 위반한 것이다. 게다가 개인신용정보를 익명 처리했다면 처리 날짜와 항목, 사유, 근거 등을 3년간 보존해야 하지만 농협중앙회는 이런 조치를 하지 않아 신용정보법 제 40조의2를 위반했다.

농협중앙회는 2019년에도 같은 잘못으로 기관 과태료 2880만원, 직원 주의 1명 제재를 받았다. 당시 제재 내용에 따르면 농협중앙회는 2016년 3월12일부터 2018년 10월31일까지 금융거래 등 상거래 관계가 종료된 개인의 신용정보를 10년이 지나도 삭제하지 않았다. 2019년에 개인신용정보 미삭제로 이미 제재받았음에도 농협중앙회는 같은 잘못을 지난해 4월까지 반복한 셈이다.

그럼에도 금감원은 '종전 제재 이후 5년 이내 동일한 법규 위반 시 가중 처벌'을 적용하지 않았다. 농협중앙회의 위반 행위 동기도 '중'에서 '하'로 내렸다. 위반 행위 동기는 '상·중·하'로 나뉜다. '하'는 위반자 행위에 고의가 없다고 보는 것으로 과태료 부과 비율이 내려간다.

금감원은 농협중앙회의 법 위반 인식이 분명하지 않다고 판단했다. 농협중앙회가 그간 관행상 상거래 종료 시점을 조합별이 아니라 전체 조합을 기준으로 판단해 업무 수행에 오해가 있었다는 이유다. 또 1000여개 단위 조합의 개인신용정보를 직접 삭제·분리 보관하기에는 운영상 어려움이 있다는 점도 고려했다.

농협중앙회가 개인신용정보 취급 부실로 제재받은 건 이뿐만이 아니다. 2021년 농협중앙회는 개인신용정보 부당 조회와 신용정보 전산시스템 보안대책 수립 위반으로 3600만원 과태료 처분 및 견책·주의 등 직원 제재를 받았다. 당시 금감원에 따르면 농협중앙회 직원은 2019년 2월부터 12월까지 개인적인 목적 등으로 동의 없이 가족·지인, 동료 직원의 신용정보를 부당하게 조회했다. 농협중앙회는 또 신용정보 유출을 방지하기 위한 내부 시스템 구축과 운영 등을 소홀히 했다.

이창섭 기자 thrivingfire21@mt.co.kr