SC제일은행은 광범위한 개인정보를 홍콩, 싱가포르, 미국 등으로도 이전 중이다. 국내 주요 시중은행이 대부분 국내 데이터센터를 활용하는 것과 차이가 있다. 문제는 고객이 이의를 제기하려 해도 전국에 148개뿐인 영업점, 특히 비수도권의 부족한 창구 인프라 탓에 실질적인 권리 행사가 어렵다는 점이다. 

◆ 고객 데이터 신용리스크 산출하랬더니..인도까지 왕복?

15일 보안업계 한 관계자는 스트레이트뉴스와의 전화 통화에서 “SC제일은행이 모바일 앱 서비스 최초 가입단계에서 사용자로부터 수집한 권한 데이터를 실제로 어떻게 관리하고, 제3자에게 위탁하거나 보관하는지에 대한 고지가 부족해 보인다”고 지적했다. 

이에 대해 SC제일은행 측은 “제3자 위탁 관련 사항은 관련법규에 의거하여 홈페이지에 게시하고 있다”며 “국내법을 철저히 준수하고 있다”는 입장이다.

SC제일은행은 홈페이지에 개인신용정보 외부제공현황 공시를 하고 있다. 그러나 이름, 주소, 생년월일, 국적, 세법상거주국 등 식별정보뿐만 아니라, 외국납세자식별번호, 증권정보, 소득금액, 원천징수금액 등 금융정보가 홍콩과 싱가포르, 미국 등 전 세계에 이전된다. 

이는 KB국민, 신한, 우리, 하나, NH농협 등 국내 주요 시중은행이 대부분 국내 데이터센터에서 개인정보를 처리하거나, 해외 이전이 필요하더라도 제한된 범위에서 최소화 하는 것과 큰 차이가 있다.

특히 SC제일은행은 금융감독원 보고를 위한 데이터 산출을 목적으로 ▲주거용주택담보대출 ▲적격회전거래 및 기타 소매 익스포져 ▲신용위험가중자산에 대한 거래유형과 잔액, 만기일자, 담보유형, 담보가액 및 리스크 측정 요소 정보를 인도 남부 도시 첸나이(Chennai)에 위치한 스탠다드차타드 글로벌 비즈니스 서비스(SCB 그룹)로 이전한다. 

해당 정보들은 금융정보 안에서도 민감도가 매우 높은 범주에 속한다. 민감정보 데이터의 해외이전 이슈가 우려되는 이유는 사고가 나더라도, 한국 정부의 관할을 벗어나기 때문이다. SK텔레콤 유심칩 유출 사태와 같이 이달 초 중앙아시아 카자흐스탄에선 1600만여명의 개인 정보가 유출되는 대형 보안사고가 터졌다.

보안업계 한 관계자는 “SC제일은행 입장에선 신용리스크 계산·보고 기준이 글로벌 본사 통합 기준을 따른다면, 민감정보라고 할지라도 인도 GBS센터를 거칠 수 밖에 없을 것”이라며 “게다가 인도는 인건비와 인프라 비용이 한국보다 저렴하기 때문에 대규모 데이터 처리 업무를 수행하기에 적합하다고 판단한 것으로 보여진다”고 말했다. 

그는 “다만 민감한 금융정보가 국외 서버로 이전되는 구조 자체가 사고 발생 시 추적과 법적 책임소재를 명확히 하기에 한계가 있다”며 “인프라와 법적 보호 수준이 한국보다 낮은 국가로의 이전은 해킹, 내부자 유출, 법적 공백 등 잠재적인 리스크를 앉고 있다”고 지적했다.

이어 “최근 카자흐스탄 개인정보 유출 사건처럼, 대규모 데이터가 유출돼도 해당 국가의 사법 시스템이나 기술적 대응이 미비할 경우, 정보주체는 사실상 무방비 상태에 놓이게 된다”며 “금융사들은 단순히 법적 요건 충족을 넘어, 데이터 보호 실효성과 투명성 차원에서 해외 이전 정책을 재검토해야 한다”고 강조했다.

◆ 개인정보 처리 불만?…이의 제기는 턱없이 부족한 영업점에서

SC제일은행 측은 “가명정보의 이전은 개인정보의 처리 정지 요청을 통해 거부할 수 있다”며 “개인정보 처리 정지요청은 영업점을 통하여 신청할 수 있다”는 입장이다. 

하지만 SC제일은행의 오프라인 창구는 턱없이 부족하다. 은행연합회 공시에 따르면, 1분기 말 기준 NH농협은행 오프라인 지점은 776개로 나타났다. KB국민은행 703개, IBK기업은행 596개, 신한은행 584개, 우리은행 586개, 하나은행 534개 등 주요은행은 모두 500개 이상을 기록했다.

같은 기간 SC제일은행의 오프라인 지점은 총 148개에 불과한 수준이다. 서울 75개, 경기 40개, 인천 6개를 빼면, 사실상 비수도권에선 대면업무가 제한되는 실정이다.

법률계 관계자 A 씨는 “사업 주체는 정보주체가 서비스를 가입하는 과정에서 해외로 이전되는 정보에 대해 명확히 인지할 수 있도록 사전에 고지하고 그 대상이 명확히 판단할 수 있도록 할 의무가 있다”며 “정보주체인 SC제일은행 모바일 앱 사용자들도 서비스 가입과정에서 무의식적으로 정보제공을 선택했는데, 이를 되돌리기 어려운 환경에 처할 수 있다는 것을 명심해야 한다”고 말했다. 

또한 SC제일은행 모바일 앱을 처음 설치할 경우 사용자는 마이크와 음성인식 기능을 통해 음성정보를 제공해야 한다. 은행 측은 선택 접근권한으로 안내하고 있지만, 정작 아이폰 사용자 입장에서 해당 인터페이스에서 선택할 수 있는 옵션도 없을 뿐더러 해지를 위해선, 회원가입 완료 후 복잡한 ‘설정’ 경로를 추적하여 비활성화로 전환해야 한다. 

SC제일은행 관계자는 “음성정보는 모바일 단말에서 기본 제공하는 음성 인식 기능을 연동하여 사용 편의성을 높이기 위해 이용되며, 당행 시스템에서 별도로 저장 및 처리되는 음성정보는 없다”는 입장이다. 그는 SC제일은행 모바일뱅킹 앱은 전적으로 한국에서 운영되고 있다”며 “앱 접근 권한 관련 데이터는 해외로 이전되지 않는다”고 밝혔다.

A 씨는 “음성정보는 개인정보호법 제23조에 따른 민감정보에 해당함으로 명시적 동의 없이는 수집·처리가 금지되어 있다”며 “단말기 음성 기능 활용을 목적으로 한다고 하더라도 앱 기능과 연동된 이상, 민감정보 처리 여부 및 동의 방식은 고지 대상으로 간주해야 한다”고 말했다.

다른 법률계 관계자 B 씨는 “해당 은행에 ‘프라이버시-컴플라이언스 가이드라인’이 존재하는지 의심된다”고 지적했다. 

프라이버시 보호는 기업의 브랜드 가치와 소비자 신뢰와도 직결된다. 개인정보 유출 사고는 사용자 이탈을 초래하고, 기업 이미지에 치명적인 손상을 입힌다. 반대로, 명확한 프라이버시 정책을 갖춘 기업은 대외적으로 “고객의 정보를 책임감 있게 다룬다”는 이미지를 구축할 수 있다.

최근 개인정보보호법, 유럽연합(EU)의 일반개인정보보호법(GDPR), 미국의 캘리포니아 소비자 개인정보 보호법(CCPA) 등 국내·외 규제가 강화되면서, 기업은 개인 정보를 어떻게 수집하고, 활용하며, 보관·삭제하는지에 대해 명확한 내부 기준을 갖추지 않으면 법적 책임을 피하기 어렵다.

해당 가이드라인은 향후 감사, 조사, 분쟁 상황에서 기업의 준법 노력을 증명할 수 있는 방어 수단이 되며, 불확실한 리스크를 줄이는 데 핵심적인 역할을 한다.

SC제일은행 측은 “내부 프라이버시-컴플라이언스 가이드라인이 존재하냐”는 질문에 대해, “개인정보 보호를 위한 대내외 제반 규정을 철저히 준수하고 있다”며 말을 아꼈다.

[스트레이트뉴스 조성진 기자]