세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
中 중앙은행, 개인 신용정보 대리조회 앱 금지
  |  입력 : 2018-06-05 17:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국 중앙은행인 인민은행, “스마트폰 앱 통한 신용정보 유출 엄단” 밝혀

[보안뉴스 온기홍= 중국 베이징] 중국 중앙은행인 중국인민은행이 당국의 정식 인가를 받지 않은 채 개인 신용정보를 조회할 수 있다고 선전하는 스마트폰용 애플리케이션(앱)을 엄단하겠다고 최근 밝혔다.

▲중국인민은행 신용정보센터 인터넷 홈페이지 화면[이미지=홈페이지 캡처]


중국에서 ‘경제 신분증’으로 일컬어지는 개인 신용정보 기록은 신용카드 신청에서부터 금전 대출로 집이나 차를 살 때 필수적으로 쓰인다. 최근 일부 스마트폰 앱은 ‘중앙은행 신용정보 시스템에 직접 연결 가능’하다고 자처하면서 스마트폰 사용자들을 끌어 모으고 있다. 이들 앱 제공사들은 “이 앱을 스마트폰에 내려 받으면 개인 신용정보 기록을 편리하고 빠르게 조회할 수 있다”고 소개하고 있다.

하지만 중국인민은행은 최근 내놓은 문건 ‘102호문’에서 “이들 신용정보 대리 조회 앱의 정체는 권한 위탁대행 인가를 받지 않았다”며, “중앙은행은 이들 앱의 신용정보 시스템 접속을 엄금하고 있다”고 밝혔다. 사용자들은 이들 앱을 쓰는 과정에서 개인 프라이버시가 유출되는 피해를 입었을 수 있다고 인민은행은 덧붙였다.

일부 앱 ‘중앙은행 신용정보 시스템에 직접 연결’ 선전은 거짓...개인정보 훔쳐
중국에서는 최근까지만 해도 애플 아이폰의 앱 스토어를 열고 검색란에 ‘정신(征信)’을 입력하면 ‘중앙은행 신용정보 시스템에 직접 연결’할 수 있고 개인 신용정보 조회를 할 수 있다고 소개하는 앱 10여개가 떴다.

▲중국 항저우신왕신시기술이 내놓은 스마트폰용 앱 ‘개인 신용정보 조회’의 소개 화면[이미지=앱 캡처]


항저우신왕신시(정보)기술유한회사가 개발해 내놓은 ‘개인 신용정보 조회’란 이름의 앱도 그 가운데 하나다. 이 앱은 ‘중앙은행 신용정보(시스템)에 직접 연결해 신용정보 보고를 무료로 받을 수 있다’고 소개하고 있다.

사용자는 이들 앱을 쓸 때, 이동전화기와 인증번호를 통해 등록하고 이어 신분 인증 절차를 거쳐야 한다. 신분 인증 과정에서 사용자는 신분증과 이름 등 개인정보를 입력해야 한다. 또 일부 질문에 답변해야 하고, 심지어 은행카드 정보까지 입력하라는 요구도 받는다.

이처럼 개인 신용정보 대리 조회가 가능하다고 선전하는 앱들은 사용자 이동전화기의 여러 프라이버시 권한 취득을 요구할 수 있다. 이들 정보에는 위치와 전화번호, 카메라 접근, 메시지와 통화기록 읽기가 포함된다. 일부 사용자들은 이동전화 번호를 이용해 등록한 후, 다음 날 각종 금전 대출 안내 전화를 받은 것으로 드러났다고 인민은행은 밝혔다.

중국인민은행은 “이들 앱은 개인정보 관련 조작을 통해 중앙은행의 신용정보 보고를 조회할 수 있다”고 밝혔다. 이 신용정보 보고는 개인 연락처, 주소, 혼인 상황, 직업 정보, 은행 대출 기록, 신용카드 대월 기록 등 상세한 정보를 담고 있다.

중국인민은행의 설명에 따르면, 이른바 ‘중앙은행 신용정보 시스템 직접 연결’은 스마트폰 앱이 백도어에서 중앙은행 신용정보 시스템에 접속해 사용자의 정보를 조회한다는 것을 의미한다. 앱은 단지 중개 역할을 할 뿐이고, 이 과정에서 이들 앱은 사용자 개인 프라이버시를 훔쳐 간다고 중국인민은행은 지적했다.

중앙은행, “신용정보 조회 서비스 제공하는 어떤 앱도 정식 인가 받지 않아”
중국의 금융 감독 기관은 개인 신용정보 관련 업계에 ‘높은 문턱과 엄격한 요구’를 취하고 있다. 이들 스마트폰 앱은 ‘중앙은행 신용정보 시스템에 직접 연결’을 내세우고 있지만, 중국인민은행은 개인 신용정보 보고 주관 기관인 중앙은행으로서 개인 신용보고 조회 서비스를 제공하는 그 어떤 스마트폰 앱에 대해서도 해당 허가를 내주지 않은 것으로 드러났다.

개인 신용정보는 은행 신용대출 정보를 핵심으로 하는데, 금융 기관은 이를 상급기관이나 관련 기관에 보고한다. 예컨대 관련 업무 은행은 해당 정보를 집계해 본점에 보고하고, 본점은 매월 정기적으로 정보를 신용정보센터에 올린다. 여기에는 사회보험, 공동 적립금, 보증, 미납 세금, 민사 판결과 집행 등 공공정보가 포함된다.

이와 관련, 중국인민은행 신용정보센터가 내놓은 데이터에 따르면, 최근 기업·개인 관련 신용정보 시스템은 상업은행, 농촌신용사, 신탁회사, 재무회사, 자동차금융회사, 소액 대출회사 등 각종 금융 대출 기관과만 연결돼 있다.

중국인민은행 신용정보센터 홈페이지의 초기화면 중간에는 “안전 도움말: 신용정보센터는 그 어떤 제3자 응용프로그램(APP)에 개인 신용보고 조회서비스를 제공하는 권한을 주지 않았으므로 사용자들은 주의하길 바랍니다”는 글이 굵은 빨강색으로 표시돼 눈길을 끌고 있다.

중국인민은행은 얼마 전 ‘신용정보 안전관리를 강화하는 것에 관한 통지’(중앙은행 발표 [2018] 102 호문)를 하달하고, 기업·개인 신용정보 시스템 운영 기관과 접속 기관의 신용정보 안전관리를 한층 더 강화하고 나섰다.

이 ‘102호문’ 문건은 권한위탁 조회 기제를 엄격하게 정하고 있다. 권한 위탁을 거치지 않을 경우 신용정보 보고 조회를 엄금한다고 강조하고 있다. 또 내부 인원과 국가 기관의 조회 처리 절차를 규범화하고, 권한 위탁 인가를 받지 않은 스마트폰 앱의 신용정보 시스템 접속을 금지한다고 명시하고 있다.

중국인민은행은 5월 4일 열린 신용정보공작회의에서 “신용정보 영역의 위법·위규 행위를 절대 용인하지 않고 엄격하게 조사해 처리하겠다”고 강조했다. 아울러 전 사회에 걸친 신용정보 시스템 건립에 속도를 내고 인터넷 신용 체계 구축에 적극 나서겠다고 덧붙였다.

중앙은행 “신용정보 유출 엄벌하겠다”
중국인민은행은 신용정보 유출 상황이 일어나면 엄하게 처벌하고 신용정보의 안전에 위험이 발생하지 않도록 하겠다고 밝혔다.

이번 ‘102호문’에 따르면, 중앙은행은 기업·개인 신용정보 시스템에 접속하는 기관에 대해 심사와 등급평가 관리를 하기로 했다. 심사 배점의 경우, 접속 기관은 A, B, C, D 등 네 개 등급으로 평가된다.

이 ‘102호문’ 첨부문서인 ‘금융 신용정보 기초 데이터베이스 접속 기관 신용정보 합규와 정보보안 연도 심사 등급평가 관리 방법’에 따르면, △신용정보 위규 사건이 여러 신고와 소송을 초래하거나 사회 집단적 사건을 일으키는 경우 △뉴스 매체와 온라인에서 지속적으로 중대한 부정적 여론을 일으키는 경우 △중대하고 위험한 사건 또는 위규 사건을 허위보고, 지연보고, 누락보고 할 경우 △자체 평가시 중대한 은폐 정황이 있고, 상부 보고에 허위 기재와 오도성 진술 또는 중대한 누락 문건과 자료 등이 있을 경우 등의 상황에 대해서는 평가등급이 한 단계 강등된다.

특히 이 ‘102호문’은 기업·개인 신용정보 시스템에 접속하는 기관에 대해 △신용정보 범죄와 관련된 사건을 일으키고, 유관 기관 또는 인원이 법에 의거해 형사 책임을 추궁 당할 때 △신용정보 유출·매매 사건이 발생하고, 유관 인원이 법에 따라 형사 조치를 받을 때 △신용정보 유출과 불법 조회 같은 위규 사건 등이 일어난 경우 △승인을 거치지 않고 무단으로 신용정보 기관 업무를 진행한 경우에는 심사 등급평가 결과를 ‘0점’으로 처리한다고 명시했다.

“개인정보 안전 보호책임 무겁고 갈 길 아직 멀어”
이런 가운데 중국에서 현재 개인정보 보호와 관련된 통일된 입법이 이뤄지지 않고 여러 법률 법규에 분산돼 있으며, 이 때문에 개인정보 유출과 관련해 개인의 권익을 보호하는 데 어려움이 많다는 지적이 지배적이다.

중국정법대학 인터넷금융법률연구원의 리아이쥔 원장은 “중국 개인정보의 법률 보호 현황을 보면, 중국은 개인정보 보호에 대해서는 전문적인 입법이 아직 이뤄지지 않았으며, 개인정보 유출에 대한 처벌은 통일성과 체계성이 부족하다”고 진단했다. 또한 개인정보 보호 방면에 대한 통일된 기본법이 아직 마련돼 있지 않은 채, 기존 규정 내용은 유관 법률 법규 중에 분산돼 있고 양형도 적은 편이라고 리 원장은 지적했다.

이와 관련, 중국 민법 총칙 111조, 형법 제253조는 공민의 개인정보가 침범 받지 않는다는 내용과 유관 처벌 조치 관련 내용을 담고 있다. 최고인민법원과 최고인민검찰원이 지난해 5월 9일 연합 발표한 ‘공민 개인정보 침범 형사사건 적용 법률 약간 문제 처리에 관한 해석’과 같은 해 6월 1일 시행에 들어간 ‘사이버 보안법’은 사용자 개인정보 보호와 관련된 유관 규정을 담고 있다.

이외에 소비자 권인 보호법, 주민신분증법, 상업은행법, 미성년자보호법, 통신조례 및 ‘인터넷 전자공고 서비스 관리 규정’, ‘컴퓨터 정보 네트워크 국제 온라인 안전 보호 관리 방법’, ‘인터넷 안전 보호 기술 조치 규정’ 등 법률 법규에도 개인정보 보호와 관련한 규정이 들어 있다.

리아이쥔 원장은 “빅데이터 시대에 어떻게 개인정보를 안전하게 보호할 것인가는 빅데이터 분야 발전에서 매우 중요한 점이 됐다”며 “관련 기관에서는 통일된 입법 틀을 갖추고 사법 단속 강도를 높여야 한다”고 말했다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)