[PB들의 재테크 강의 <19>] 개인 정보 보호, 안전한 금융거래의 첫걸음
일상생활에서 개인 정보 제공은 빈번하게 발생하면서도 엄격한 관리를 필요로 한다는 사실을 대부분 인식하고 있을 것이다. 개인 정보는 개인의 신원, 경제적 상황, 건강 상태 등 개인과 관련된 모든 정보를 의미한다. 이러한 정보가 유출될 경우 개인의 사생활이 침해되고, 더 나아가 금전적 피해 같은 심각한 결과를 초래할 수 있다.
특히 인터넷과 디지털 기술 발달로 정보가 쉽게 공유되고 저장되면서 개인 정보 관리의 중요성은 더욱 커지고 있다. 개인 정보가 부적절하게 사용되거나 유출되면, 개인 정보를 악용한 사기, 도용, 스팸 메일 등의 피해를 볼 수 있다. 또한, 기업이나 기관이 고객이나 이용자의 개인 정보를 관리할 때도 철저한 보안 조치를 필요로 한다. 정보 유출은 기업의 신뢰도에 큰 타격을 줄 수 있으며 법적 제재를 받을 수도 있다.
이에 따라 기업은 개인 정보 보호를 위한 정책 수립, 정기적인 보안 점검, 직원 교육 등을 통해 개인 정보 보호 대비를 중요시하고 있다. 개인 정보 관리의 중요성은 개인의 사생활 보호와 직접적으로 연결되며, 개인의 권리를 보호하기 위한 필수적인 요소이기도 하다. 개인정보보호법 등 관련 법률은 이러한 중요성을 반영해 개인의 정보가 안전하게 관리되도록 규제하고 있다.
금융거래에서 개인 정보 보호는 필수
금융거래에서 개인정보보호법은 개인의 금융 정보와 관련된 데이터가 불법적으로 수집, 이용, 또는 공유되는 것을 방지하기 위해 마련된 법적 규제다. 이 법은 금융기관, 서비스 제공자, 기타 관련된 단체가 개인 정보를 처리하는 방법과 관련한 규제를 포함하고 있다.
개인 정보의 정의와 범위는 개인을 식별할 수 있는 모든 정보를 포함한다. 여기에는 이름, 주민등록번호, 주소, 전화번호, 계좌 번호, 금융거래 내역 등이 포함된다. 이러한 정보는 개별적으로나 또는 다른 정보와 결합하여 개인을 식별할 수 있는 모든 데이터를 의미한다.
개인 정보 수집과 이용 면에서 금융기관은 고객의 동의 없이 개인 정보를 수집하거나 사용할 수 없다. 개인 정보를 수집할 때는 정보 수집의 목적, 이용 범위, 보관 기간 등을 고객에게 명확하게 알려야 한다. 특히, 민감한 정보나 고유 식별 정보는 더욱 엄격한 보호가 요구된다.
금융기관은 고객의 동의 없이 개인 정보를 제삼자에게 제공할 수 없다. 이때 동의는 명시적이고 서면 또는 전자적 방식으로 이뤄져야 하며 제공받는 자, 제공되는 정보의 내용, 제공 목적 등을 고객에게 상세하게 설명해야 한다. 제삼자 제공이 필수적인 경우는 법적 요구 사항을 충족해야 한다.
금융기관은 수집된 개인 정보를 안전하게 보호할 책임이 있다. 이를 위해 정보 보안 시스템을 구축하고, 내부 통제 시스템을 강화해야 한다. 또한, 개인 정보에 접근할 수 있는 직원이나 관계자의 접근 권한을 제한하고, 주기적인 보안 점검을 실시하고 있다.
개인 정보의 보유 및 파기에 있어서도 금융기관은 개인 정보를 일정 기간만 보유하며 법적으로 필요한 경우를 제외하고는 보관 기간이 만료된 정보를 즉시 파기해야 한다. 파기 방법은 복구 불가능한 방법으로 수행해야 하며, 파기 사실을 기록으로 남겨야 한다.
정보 관리에 있어 고객의 권리도 있다. 고객은 자신의 개인 정보에 대한 접근, 수정, 삭제 요청을 할 수 있는 권리를 가진다. 금융기관은 이러한 요청에 신속하게 대응해야 하며, 정당한 이유 없이 거부할 수 없으며, 개인 정보의 수집과 이용에 대해 동의 철회권을 행사할 수 있다.
법적 책임과 함께 재제도 뒤따른다. 금융기관이 개인정보보호법을 위반할 경우, 법적 제재를 받을 수 있다. 여기에는 과태료, 과징금, 손해배상 등이 포함된다. 심각한 경우 형사처벌까지도 가능하다. 또한, 개인 정보 유출로 인한 피해가 발생할 경우, 해당 기관은 그에 대한 책임을 지고 피해를 보상해야 한다.
국제 거래가 빈번한 금융 분야에서는 국경을 넘는 개인 정보 이전이 자주 발생하게 된다. 이 경우 국내법뿐만 아니라 유럽의 일반데이터보호규정(GDPR) 같은 국제적인 개인 정보 보호 규정에 따라야 한다. 정보의 안전한 이전과 보호도 보장돼야 한다. 금융기관은 국제적으로도 개인 정보 보호에 대한 규정을 준수할 의무가 있다. 특히 빅데이터, 인공지능(AI), 블록체인 등의 신기술 발전은 금융거래에서 개인 정보 보호에 새로운 도전을 제기한다. 이러한 기술을 활용하는 경우에도 개인정보보호법의 원칙을 준수해야 하고, 기술적 안전장치를 마련해야 한다.
금융 사고 유형 세 가지
이렇듯 금융거래에서 개인 정보는 매우 민감한 정보로 취급된다. 금융기관이 고객의 정보를 관리하는 과정에서 다양한 사고 유형이 발생할 수 있으며, 이에 대한 방지 대책이마련되어야 한다. 금융거래에서 개인 정보 활용에 따른 사고 유형은 다음과 같다.
1│정보 유출 및 도용 금융기관의 데이터베이스가 해킹되거나 내부자의 부주의로 인해 개인 정보가 외부로 유출될 수 있다. 유출된 정보는 신분 도용, 계좌 해킹 등의 범죄에 악용될 수 있다.
2│피싱(phishing) 및 스미싱(smishing) 피싱은 가짜 웹사이트나 이메일을 통해 개인 정보를 탈취하는 수법이다. 스미싱은 문자 메시지를 통해 악성 링크를 보내 개인 정보를 빼내는 수법이다. 이러한 방법은 금융 정보를 직접적으로 노리고 있어, 많은 사람이 피해를 볼 수 있다.
3│보이스피싱 사회공학적 기법을 통해 개인의 심리나 신뢰를 악용해 정보를 얻는 사기 수법이다. 예를 들면, 고객센터를 사칭해 개인 정보를 유도하는 기관 사칭형 보이스피싱과 친숙한 사람으로 위장해 정보를 요구하는 지인 사칭형 보이스피싱의 경우가 여기에 해당한다.
금융 사고 대비법 네 가지
사고 발생 가능성을 줄이는 대책도 여러 방법으로 실행되고 있다.
1│강력한 인증 절차 금융거래 시 단순 비밀번호 외 2단계 인증이나 생체 인식 기술 등을 도입해 보안을 강화하고 있다. 이러한 다중 인증 방식은 정보 유출 시에도 피해를 최소화할 수 있다.
2│정기적인 보안 점검 금융기관은 정기적으로 보안 시스템을 점검하고, 최신 보안 패치를 적용해야 한다. 또한, 해킹이나 내부자의 부정행위를 예방하기 위한 모니터링 시스템을 갖춰야 한다.
3│고객 교육 금융기관은 고객에게 피싱, 스미싱 등의 위험을 인지하게 하고, 이러한 공격을 피하는 방법에 대해 교육해야 한다. 의심스러운 링크나 이메일을 클릭하지 않도록 주의하게 하고, 정기적으로 비밀번호를 변경하도록 권장하고 있다.
4│법적 대응 체계 강화 개인 정보 보호에 대한 법적 규제를 강화하고, 위반 시 엄격한 처벌을 부과하는 것이 필요하다. 이를 통해 금융기관과 개인 모두가 개인 정보 보호의 중요성을 인식하고, 보다 철저히 관리할 수 있게 된다.
보이스피싱은 그 수법이 갈수록 정교해지고 있어 예방을 위한 노력이 더욱 중요하다. 공공기관이나 금융기관은 절대 전화로 개인 정보를 요구하지 않는다. 유선상으로는 주민등록번호나 계좌번호, 비밀번호 등을 절대 노출하지 말아야 한다. 의심스러운 전화를 구분하는 능력을 키우는 것 역시 무엇보다 중요하겠다.
정부도 금융거래에서 개인 정보 보호를 위해 감독 기관을 운영하며, 규제 준수 여부를 꼼꼼하게 모니터링하고 있다. 특히 우리나라는 금융위원회와 개인정보보호위원회가 금융기관의 개인 정보 처리에 대한 감독과 규제를 시행한다. 이러한 개인 정보 관리의 안정성과 신뢰를 기반으로 금융거래와 서비스를 원활하게 활용할 필요가 있다.
Copyright © 이코노미조선. 무단전재 및 재배포 금지.