HUG, 대표자 ‘개인신용정보’ 포함된 법인기업 신용평가내역 내부망 통해 수년간 전 임직원에 노출
박재호 의원 '인적 경로에 의한 유출 의심… 신용정보 이용,관리 실태 감사 다시 해야'지적
주택도시보증공사(HUG)의 고객신용정보 관리가 허술한 것으로 드러났다.
정보취급자를 별도로 지정하지 않은 탓에, 조회업무와 무관한 직원들까지도 '개인신용정보'가 포함된 법인기업의 신용평가내역을 수년간 아무런 제약 없이 들여다 본 것으로 확인돼, 관련법 위반 소지가 크다는 지적이다.
14일 국회 국토교통위원회 소속 더불어민주당 박재호 의원이 HUG로부터 제출받은 국정감사 자료에 따르면, 공사는 지난 2013년 선진형 신용평가체계를 구축한 이후 최근까지 보증거래관계에 있는 법인기업 및 개인사업자 5810개사 2019년 6월 현재의 신용도를 평가하여 관리하고 있다.
자체 개발한 평가모형에 의해 기업의 재무 상태나 경영능력, 대표자의 신용리스크를 평가해 15개 등급(AAA~D) 중 1개 등급을 부여하고, 이에 보증료율과 보증한도, 융자금이율 등을 차등 적용하는 방식이다.
대표자의 신용리스크는 주로 자산총액이 120억원 미만인 비외감 회계법인의 의무적인 회계감사를 받지 않는 기업, 기업과 소기업의 경영실권자 및 대표자 개인의 외부 나이스평가정보(주) 등 신용정보를 기초로 산정하며, 대기업 등은 예외다.
이를 위해 개인(신용)정보의 수집,이용 및 제공,조회에 관한 동의는 필수다(표2 참조). 만일 동의하지 않을 경우, 신용평가 대상에서 사실상 제외된다.
보증발급을 위한 신규거래업체 뿐 아니라, 보증잔액이 있거나 융자금 잔액이 있는 기존 업체들은 해마다 정해진 기간에 평가를 받아야 하는데, 받지 않으면 최하위 등급(D)이 적용된다.
문제는 현재 보유중인 기업 대표자의 '개인신용정보' 관리가 허술하다는 점이다.
HUG는 지난해 11월 자체감사에서, '전 임직원이 내부망인 차세대 시스템을 통해 모든 법인고객의 신용평가등급을 조회할 수 있어 개선이 필요하다'며 정보운영처장에게 '관련 정보에 대한 접근 가능 인원을 최소화 하라'는 '통보' 수준의 미약한 감사처분을 내렸다. 이후 올해 1월, 보증심사 및 사후관리 업무를 직접 수행하는 부서 위주로 접근 권한이 변경됐다.
하지만, 의원실이 실제 내부망에서 조회되는 신용평가분석 내역을 확인한 결과, 공사와 거래관계에 있는 법인기업의 최종 신용평가 등급 뿐 아니라, 대표자 개인의 신용 점수와 개인 등급까지도 쉽게 확인할 수 있었다.
더욱이 최근 3년간 HUG 직원들의 고객신용정보 조회 이력을 분석한 결과, 총 11만8,000여건의 기록 중에 보증 심사 및 관리 업무와 관련이 없는 634건 차세대 시스템 접근 권한 변경(2019년 1월) 기준. 본점 심사부서(심사평가처, 도시재생운용처, 임대주택지원처)와 영업점, 리스크관리단, 정보운영처, 기금정보처를 제외한 나머지 부서의 조회 기록 건수의 조회기록이 발견됐다. 주로 고객소통,CS팀(57건)과 언론홍보 및 대외협력팀(22건), 연구기획팀(18건) 등이었다. 특히, 이 중에는 하루사이 특정업체의 신용정보를 5회 이상 연속으로 조회한 일부 직들도 있어 문제의 심각성을 더했다.
'개인신용정보'는 '신용정보의 이용 및 활용에 관한 법률' 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 및 제20조의2(개인신용정보의 보유기간 등)에 따라, 조회 권한이 직급별,업무별로 차등 부여되도록 해야 하고, 이를 활용하는 자는 조회 사유의 적정성 등을 주기적으로 점검해야 한다. 또한 금융거래관계가 종료된 날부터 최장 5년 이내에 관리대상에서 삭제해야 한다 해당 기간 이전에 정보 수집ㆍ제공 등의 목적이 달성된 경우는 그 목적이 달성된 날부터 3개월 이내. 다른 법률에 따른 의무 이행 위해 불가피한 경우 등은 현재 거래 중인 신용정보주체의 개인신용정보와 분리해 관리해야 한다. 이를 위반할 경우 최대 5천만원의 과태료가 부과된다.
박재호 의원은 '관리가 허술한 수준을 것을 넘어, 누가 보더라도 인적경로에 의한 유출을 의심할 수밖에 없는 상황'이라며 '주택도시보증공사의 개인신용정보 이용 및 관리 실태에 관한 국토부 등 상급기관의 제대로 된 감사가 시급하다'고 지적했다.
한편, HUG는 지난해 12월 '신용정보보호규정' 제정안을 마련했으나, 내부 논의 미흡 등을 이유로 현재까지 제정되지 않은 상태다.
이영수 기자 juny@kukinews.com
쿠키뉴스 이영수 juny@kukinews.com
저작권자 © 쿠키뉴스, 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.