개인정보 유출 책임을 전적으로 은행이 지도록 하는 법안이 국회 통과를 앞두고 있어서다. 핀테크가 금융회사와 ICT(정보통신기술)의 융합으로 탄생한 서비스기 때문에 보안 사건 발생 때 책임소재를 가리기도 어렵다. 은행은 핀테크 기업을 믿지 못하고 핀테크 기업은 은행의 책임 떠넘기식 태도가 문제라고 꼬집고 있다.
13일 금융권과 핀테크 업계에 따르면 핀테크 분야에서 개인 정보유출에 대한 책임 문제는 정착된 관례가 없다. 한 시중은행 관계자는 "금융사고의 책임을 무겁게 져야 하는 상황에서 핀테크 업체와 협업은 신중할 수 밖에 없다"며 "당국의 보안성 심의를 받을 수 있는 업체나 규모가 큰 업체를 선택하는 것이 리스크를 줄이는 방법"이라고 말했다.
대형 금융회사는 보안 사고가 발생했을 때 사회적 책임을 떠 안는 게 부담이다. 피해액 배상에 있어서도 소규모 핀테크 업체가 감당하지 못할 경우 금융회사에 배상의 책임이 돌아갈 가능성이 높다. 법적인 책임보다 여론에 따른 사회적 책임, 정치권과 금융당국의 개입도 충분히 예상된다.
이런 문제를 방지하기 위해 금융권은 외부 업체와 협업할 때 보안사고에 대한 책임 소재를 미리 계약서에 명시한다. 이 경우 '을'의 입장인 핀테크 업체가 보안 문제에 대한 책임을 떠안는다는 게 핀테크 업계의 설명이다.
이에 대해 핀테크 업계는 금융회사가 보안 문제를 제기하는 것을 이해할 수 없다는 입장이다. 현재 은행의 보안 시스템도 어차피 국내 IT업체가 담당하고 있는데 핀테크 기업의 보안 기술을 못믿는다는 건 모순이라는 지적이다.
페이게이트 박소연 대표는 "해외에서는 대형 은행과 소규모 핀테크 업체도 동등한 관계로 일할 수 있다. 핀테크 업체가 외부 기관의 보안감사를 받았으면 아무리 작은 기업이라도 믿고 일하는 분위기"라며 "책임 소재는 일이 처리되는 과정을 검증해서 밝힐 일이지 법률이나 계약에 의해서, 심지어 여론에 의해서 결정될 일은 아니다"라고 말했다.
앞서 국회 정무위원회는 지난 12일 신용정보 유출방지법(신용정보 이용 및 보호에 관한 법률 개정안)를 가결했다. 개정안은 금융회사가 보관 중인 개인 신용정보가 유출됐을 때 피해액의 최대 3배까지 배상하도록 '징벌적 손해배상제'를 담고 있다.
특히 피해자가 정보 유출 피해를 입증하지 못해도 금융회사는 배상을 해줘야 한다. 이것을 피하려면 금융회사가 정보 유출 과정에 고의나 중과실이 없다는 것을 입증해야 한다. 피해자 개인이 손해를 입증하는데 어려움이 있다는 점을 감안해 금융회사에 책임을 물은 것이다.
최경환기자
rosetta@bithub.co.kr