- .

(사진 = 농협중앙회)

(서울=NSP통신) 강수인 기자 = 농업협동조합중앙회(이하 농협중앙회)가 보존기간이 지난 후 삭제해야 하는 고객의 개인신용정보를 그래도 두거나 개인신용정보의 익명처리 조치기록을 제대로 보관하지 않는 등 고객의 신용정보 관리가 미흡했던 것으로 드러났다. 이에 금융감독원은 3000만 원의 과태료와 임원 1명에 대해 ‘주의’ 조치를 내렸다.

10일 금감원에 따르면 금감원 중소금융검사2국은 농협중앙회가 고객의 개인신용정보 분리보관 및 미삭제, 익명처리 조치기록 보존 미이행 등 규정을 위반한 사실을 검사 과정에서 적발했다.

검사 결과 농협중앙회는 1955만 6276건에 달하는 상거래가 종료된 고객 개인신용정보를 미삭제했다. ‘신용정보법’ 제20조2 제2항 등에 따르면 신용정보제공·이용자는 개인신용정보를 해당 신용정보주체와의 금융거래 등 상거래관계가 종료된 날부터 5년 이내에 삭제해야 하고 상법에 따른 의무를 이행하기 위해 불가피한 경우 10년간 보존 후 삭제해야 한다. 그러나 농협중앙회는 2018년 11월 24일부터 2023년 4월 28일 중 상거래관계가 종료된 날부터 5년이 경과하거나 필요한 보존기간 10년이 경과했음에도 해당 정보를 삭제하지 않았다.

이와 함께 상거래관계가 종료된 고객의 개인신용정보 분리 보관도 하지 않았다. ‘신용정보법’ 제20조의2 제1항 등에 따르면 신용정보제공·이용자는 금융거래 등 상거래관계가 종료된 날부터 법령이 정하는 기한까지 해당 신용정보 주체의 개인신용정보가 안전하게 보호될 수 있도록 대통령령이 정하는 바에 따라 관리해야 하는데도 중앙회는 1964만 6188건의 개인신용정보를 다른 고객의 정보와 별도로 분리하지 않았다.

또 개인신용정보의 익명처리 조치기록 보존도 이행하지 않았다. ‘신용정보법’ 제40조의2 제8항에 따르면 개인신용정보를 익명처리한 경우 익명처리한 날짜, 정보의 항목, 사유와 근거 등의 조치기록을 3년간 보존해야 한다. 그러나 농협중앙회는 2022년 4월 21일부터 2023년 3월 28일 기간 중 고객번호가 포함된 조합 고객의 신용사업·경제사업 이용실적을 조합별, 고객별로 통합 후 고객번호를 삭제하고 집계하는 방식으로 익명처리하고 해당 익명처리 정보를 분석한 자료를 빅데이터 분석 플랫폼에서 계열회사인 A,B 등에 조회하도록 했다.

이에 따라 금감원은 이 같은 법률·시행령 위반 사실을 근거로 과태료 3000만 원 등 기관제재와 함께 ‘주의’ 1명과 퇴직자위법·부당사항(주의 상당) 2명의 임원제재, 관련 직원에 대해서도 1건의 ‘자율처리필요사항’ 제재조치를 내렸다.

NSP통신 강수인 기자(sink606@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.