"NH농협카드를 쓰다가 2011년에 탈회했고, 당시 개인정보를 삭제해달라고 분명히 요청했어요. 그런데 개인정보 유출사고 소식을 듣고 혹시나 싶어서 조회해 봤더니 제 정보가 빠져나갔더군요. 농협카드가 삭제 요청에도 불구하고 제 개인정보를 계속 갖고 있다가 도둑을 맞은 거죠. 어처구니가 없었습니다. 탈회만 한 게 아니라 개인정보 삭제까지 요청했는데 이런 일이 벌어진 거예요. 이번에 100만 명 가까운 고객이 탈회 요청을 했다는데, 이런 식이면 그게 무슨 소용이 있겠어요."
1억여건의 개인정보 유출사고를 일으킨 카드사들이 탈회한 회원들의 정보를 삭제하거나 암호화하지도 않은 채 수년간 보유하고 있었던 것으로 드러났다. 카드사 고객들은 대부분 탈회를 신청할 경우 개인정보가 자동으로 삭제되는 것으로 알고 있어 논란이 예상된다.
15일 한 매체에 따르면 40대 직장인 김모씨는 "3년 전 NH농협카드를 탈회하면서 개인정보를 지워달라고 요청했는데, 이번 대규모 개인정보 유출 사건 때 자신의 정보가 포함됐다"고 제보한 것으로 전해졌다.
NH농협카드에서 빠져나간 김씨의 정보는 이름, 주민등록번호, 휴대폰번호, 자택전화번호, 직장전화번호, 이메일, 자택주소, 직장주소, 직장정보, 카드번호, 유효기간, 카드정보, 결제정보, 신용한도 등 14개에 달한다. 사실상 개인이 갖고 있는 모든 정보가 유출된 것이다.
김씨는 고객센터에 전화를 해 "탈회한 후 개인정보를 삭제해달라고 요청했는데, 내 정보가 왜 유출됐느냐"고 따져 물었지만 카드사 상담원은 "현행법상 탈회를 해도 개인정보를 보관할 수 있다"고만 답변했다.
상담원은 "현행법상 갖고 있을 수 있기 때문에 가지고 있다가 그렇게 됐다. 죄송하다"며 "탈회해도 정보는 사라지지 않는다"며 같은 말만 반복할 뿐이었다.
카드사들은 고객이 탈회한 후에도 고객정보를 데이터베이스(DB)에 남겨두고 있었다. 일부 카드사의 경우 탈퇴회원을 해지회원으로 분류해 개인정보를 10년 이상 보관하기도 한다.
카드업계의 관계자는 "고객들은 탈회를 하면 개인정보가 모두 지워지는 것으로 알고 있을 수 있지만 사실은 그렇지 않다"며 "연말정산이나 법적 다툼 등의 문제가 발생할 수 있고, 일부 고객의 경우 탈회한 후 카드 거래내역을 달라고 요구하기도 한다"고 설명했다.
이 관계자는 "최근 개인정보 유출사태로 탈회와 개인정보 삭제를 요청하는 고객이 있는데, 이 경우 이런 사실을 설명하고, 동의를 받아 꼭 필요한 정보만을 남긴 후 삭제하고 있다"고 밝혔다.
개인정보보호법 21조는 '개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 됐을 때에는 지체 없이 그 개인정보를 파기해야 한다"고 규정하고 있다.
또 '개인정보를 파기하지 않고 보존해야 하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해 저장·관리해야 한다"고 정하고 있다.
하지만 신용정보보호법, 상법, 전자금융거래법 등에 따르면 금융사는 분쟁 등에 대비해 고객의 금융거래내역을 5년간 의무적으로 보관해야 한다. 다만 이 경우 정보는 암호화된 형태로 별도 보관해야 하며, 일선 영업부서에서 확인하거나 활용할 수 있게 해서는 안 된다.
금융감독원 관계자는 "양측의 입장을 들어봐야겠지만 카드사가 탈회한 고객의 개인정보를 암호화하지 않고 다른 정보들과 함께 마케팅용으로 보관하다 유출시켰다면 카드사의 잘못"이라고 밝혔다.
이 관계자는 "개인정보법상 보유기간이 지나고 목적 달성이 끝나면 정보를 지체 없이 삭제해야 한다"며 "그런데 '목적 달성'의 개념이 모호하다보니 정부에서 가이드라인을 만들었고, 일부 카드사들이 이 내용을 악용, 상업적·마케팅 목적으로 보유하려는 꼼수를 쓰는 것 같다"고 밝혔다.