단기간 내 의사번복 미반영…한국씨티, 과태료 3억4320만원 제재
외국계 은행의 한계?…내부통제 강화 등 후속조치
[편집자] '야금(冶金)'은 돌에서 금속을 추출하는 기술입니다. 국민생활과 밀접한 금융에선 하루가 멀다하고 사건·사고가 끊이지 않지만, 첫단부터 끝단까지 주목받는 건 몸집이 큰 사안뿐입니다. 야금 기술자가 돌에서 금과 은을 추출하듯 뉴스의 홍수에 휩쓸려 잊혀질 수 있는 의미있는 사건·사고를 되짚어보는 [한국금융의 뒷얘기 야금야금] 코너를 종합뉴스통신 뉴스핌이 선보입니다. 왜 그런 일이 생겼는지, 이후 개선된 건 있는지 등 한국금융의 다사다난한 뒷얘기를 매주 금요일 만나보시기 바랍니다.
[서울=뉴스핌] 박미리 기자 = # 한국씨티은행 고객이던 강모 씨에게 문자가 하나 날아왔다. "저희 상품과 고객우대 이벤트를 알려드립니다." 한국씨티은행이 보낸 메시지였다. 조용히 휴대폰을 주머니에 다시 넣던 강 씨. 갑자기 머리 속에 느낌표 하나가 스쳐간다. '이전에 광고메시지 받지 않겠다고 했었는데…?'
한국씨티은행은 고객 동의를 받지않고 광고 메시지를 보낸 것이 적발돼 작년 말 금융감독원으로부터 제재조치를 받았다. 지불한 과태료만 3억4320만원. 금감원 과태료가 보통 수천만원 선에서 책정돼왔다는 점을 감안할 때 적지않은 수준이다. 특히 문제가 된 부분은 신용정보 주체가 신청한 금융거래에만 신용정보가 이용돼야 함에도(신용정보의 이용 및 보호에 관한 법률 제33조 개인신용정보의 이용), 신용정보 주체의 동의없이 영리목적의 광고성 정보를 전송한 것(동법률 제40조 신용정보회사 등의 금지사항)이다.
◆ 미흡했던 전산시스템, '동의→부동의' 반영 안돼
이 같은 문제는 2017년 5월 실시된 금감원 '경영실태평가'에서 적발됐다. 경영실태평가는 금감원이 금융회사의 경영부실 위험을 적기에 파악하고, 관리하기 위해 2년 주기로 실시하는 검사다.
검사기간 동안 한국씨티은행에서 가장 많이 적발된 사례는 '광고성 정보'를 받겠다고 했다가 단기간 내 받지 않겠다고 한 이들에게도 '광고성 정보'를 전달한 것 등이다. 한국씨티은행은 2014년 9월부터 2016년 12월까지 총 252명의 고객에 1798건의 광고성 전화, 우편, 문자메시지를 보냈다. 이는 마케팅 활용 동의서를 전산에 늦게 기입하는 한국씨티은행의 정책 때문이다. 한국씨티은행은 고객이 대출을 신청할 때 받은 동의서를, 심사기간을 거쳐 대출이 실행될 때 전산에 기입했다. 고객이 작성한 지 며칠 지난 동의서를 전산에 등록한 것.(한국씨티은행은 하루 정도라고 주장했다.)
그렇다고 고객의 동의서가 작성일에 맞게 전산에 자동 저장되는 시스템을 갖춘 것도 아니었다. 전산에 뒤늦게 입력하면서도, 대출 신청일과 실행일 사이 변동사항을 파악할 수 있는 전산시스템이 없다보니 고객의 의사 변화가 제대로 반영될 수 없었다. 당시 다른 은행들은 고객이 동의서를 작성하는 즉시 전산에 해당 내용을 기입해 왜곡이 일어날 일이 없었다. 금감원은 한국씨티은행에 동의서 작성시점의 고객의 의사가 반영되도록 전산시스템을 개선하라고 주문했다.
직원들 실수도 있었다. 고객이 광고성 정보 수신에 부동의했음에도 '동의'했다고 입력하는가 하면, 동의 여부가 기재된 서류가 없는데도 고객이 '동의'했다고 전산에 기록해둔 것. 신용정보관리·보호인을 임원이 아닌 자로 선임한 것도 문제가 됐다. 현행법에선 직전 사업연도 말 기준 총자산 2조원 이상, 상시 종업원 수 300명 이상인 금융회사의 신용정보관리·보호인은 임원이어야 한다. 한국씨티은행은 자산이 약 50조원, 종업원 수가 약 3500명이었다.
◆ 한국씨티은행 "예전의 나 아냐"
금융권에선 한국씨티은행이 외국계 은행으로서 투자에 소극적이었단 점을 주목한다. 씨티은행은 뱅크오브아메리카, JP모건 등과 함께 세계에서 손꼽히는 대형 은행. 한국에선 외국계 은행으로 규모가 상대적으로 작고, 영업점 통폐합, 계열사 매각 등 소극적인 행보를 보여왔다. 당시 제재조치를 내린 금감원 관계자는 "당시 다른 은행들은 단기간 내 고객이 동의 의사를 번복해도, 즉각 해당 내용이 반영되는 시스템을 보유했다"며 "(한국씨티은행은) 수작업을 하거나, 다른 방법으로 할 수 있다고 생각해 시스템을 갖추지 않았을 수 있다"고 했다.
한국씨티은행은 제재 후 여러 조치를 취했다. 먼저 전산시스템을 개선했다.(2017년 8월) 마케팅동의서 내용을 전산에 기입하는 시점은 전처럼 대출 승인이 난 후로 유지하되, 대출 신청이 들어온 시점이 언제인지, 그 사이 고객이 거래를 한 내역은 없는지 확인하는 시스템을 갖춘 것이다. 이러면 서류를 전산에 뒤늦게 기입해도, 시간의 흐름에 따라 고객의 의사 변화를 알 수 있다.
직원들이 서로 마케팅 활용 동의서 내용을 전산에 정확히 기입했는지 '사후 점검'하는 단계도 추가했다. 시중은행들은 오래 전부터 해오던 절차다. 최근 태블릿PC로 서류를 받는 은행 창구가 늘어남에 따라, 직원이 서류를 직접 전산에 기입함으로써 발생할 수 있는 문제의 가능성도 현저히 줄었다. 한국씨티은행 관계자는 "신용정보관리·보호인도 바로 임원으로 교체했다"며 "유사사례가 재발하지 않도록 내부통제를 강화했다"고 강조했다.
[Tip] 광고메시지 받고 싶지 않다면?
은행 직원들은 고객들로부터 마케팅 활용 동의서(종이서류)를 받은 뒤 동의 여부, 채널 등을 전산에 기입한다. 만약 고객이 광고 수신에 동의하되 문자메시지 형태로만 받길 원했다면, 첫 번째로 동의를 누른 뒤 문자만 눌러 분류해놓는 식이다. 이러면 향후 은행이 고객에 광고 문자를 보낼 때, 문자 광고만 원한다고 분류된 이들에만 전송된다. 최근에는 발송시간에도 제한을 뒀다는 전언이다. 시중은행 관계자는 "광고 비용, 벌금도 적잖은 수준이고, 법률적 리스크도 크다"며 "은행으로서는 (광고 전송을) 철저히 관리하는 편"이라고 설명했다.
은행이 수신자로부터 동의를 받아야만 광고 메시지를 보낼 수 있게 된 것은 2005년 정보통신망법 시행령이 개정되면서다.(누구든지 전자적 전송매체 이용해 광고성 정보 전송하려면 수신자 동의 받아야 한다) 이후 2014년 1억400만건 카드사 고객정보 유출 사태가 터지면서 금융당국은 '금융분야 개인정보 유출 재발방지 종합대책'(업권별 비대면 영업 가이드라인)을 마련했다. 해당 가이드라인에는 문자, 이메일, 전화 전송·관리 방안이 세세하게 담겨있다. 또다른 시중은행 관계자는 "전보다 고객정보 관리체계가 강화된 것이 특징"이라고 전했다.
다만 고객이 오랜기간 동안 개인정보를 업데이트하지 않은 경우엔 은행도 어쩔 수 없다. 예를 들면 휴대폰 번호를 바꿨는데, 앞서 이 번호를 쓰던 사람이 거래하던 은행에서 문자가 오는 경우도 있다. 은행들은 이를 방지하기 위해 주기적으로 고객정보를 업데이트하도록 권한다. 최근에는 한국씨티은행을 비롯한 일부 은행에서 광고 동의여부 등이 포함된 개인정보 현황 문자를 보내, 광고 수신을 원하지 않으면 부동의로 바꾸도록 보완책도 마련했다.
milpark@newspim.com