Day 13: 신용정보법

1. 신용정보법의 개요

1.1 신용정보법이란?

정식 명칭: 신용정보의 이용 및 보호에 관한 법률 (약칭: 신용정보법)

신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 기하며, 신용정보의 오용·남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지하기 위한 법률

1.2 제정 배경 및 연혁

  • 1995년 1월 5일 제정: “신용정보의이용및보호에관한법률”
  • 2020년 8월 5일 전부 개정: 데이터 3법 개정
    • 마이데이터 도입
    • 가명정보 도입
    • 개인신용정보 보호 강화

1.3 적용 범위

적용 대상

신용정보를 처리하는 자:

  • 신용정보회사 (신용조회회사, 신용평가회사, 채권추심회사 등)
  • 금융기관 (은행, 증권사, 보험사, 카드사 등)
  • 공공기관
  • 기타 신용정보를 처리하는 자

신용정보의 정의 (법 제2조 제1호)

신용정보: 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보

1. 특정 신용정보주체를 식별할 수 있는 정보

  • 성명, 주민등록번호, 주소, 연락처 등

2. 신용정보주체의 거래 내용을 판단할 수 있는 정보

  • 대출, 보증, 담보제공
  • 신용카드 발급·사용
  • 상품·서비스 구매·이용
  • 채무 불이행

3. 신용정보주체의 신용도를 판단할 수 있는 정보

  • 신용평점
  • 신용등급

4. 신용정보주체의 신용거래능력을 판단할 수 있는 정보

  • 소득, 재산, 채무
  • 직업, 근속연수

1.4 개인정보보호법과의 관계

  • 신용정보법은 특별법
  • 신용정보 처리에 대해서는 신용정보법 우선 적용
  • 신용정보법에 규정이 없는 사항은 개인정보보호법 적용

적용 우선순위:

(())

2. 신용정보법의 주요 내용

2.1 법의 구조

신용정보법은 크게 9개 장으로 구성:

123456789()

2.2 보안 컨설팅 관점에서 중요한 조항

조항내용중요도
제32조~제40조개인신용정보의 수집·조사, 제공·활용★★★
제41조개인신용정보의 정확성 보장 등★★
제42조~제45조신용정보주체의 권리★★★
제46조개인신용정보 유출 등의 통지★★★
제48조신용정보의 안전성 확보 의무★★★

3. 개인신용정보의 수집 및 이용 (법 제32조~제34조)

3.1 개인신용정보 수집·조사의 제한 (법 제32조)

수집 제한 원칙

신용정보회사 등은 다음 중 하나에 해당하는 경우에만 개인신용정보 수집·조사 가능:

  1. 신용정보주체의 동의를 받은 경우
  2. 법령에 따라 의무를 이행하기 위해 불가피한 경우
  3. 계약 체결·유지 등을 위해 불가피한 경우

수집 금지 정보 (법 제32조 제2항)

다음 정보는 원칙적으로 수집 금지:

  1. 사상, 신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 → 민감정보

  2. 범죄경력 자료에 해당하는 정보

  3. 개인의 질병, 상해 또는 이와 관련한 치료 등에 관한 정보

예외:

  • 신용정보주체가 명시적으로 동의한 경우
  • 법령에서 구체적으로 허용한 경우

3.2 개인신용정보의 제공·활용에 대한 동의 (법 제34조)

동의 받을 때 고지사항

개인신용정보를 제공하거나 활용하려는 경우 다음 사항을 명확하게 고지하고 동의 필요:

  1. 개인신용정보를 제공받는 자
  2. 개인신용정보를 제공받는 자의 이용 목적
  3. 제공하는 개인신용정보의 내용
  4. 개인신용정보를 제공받는 자의 보유 및 이용 기간
  5. 동의를 거부할 권리 및 동의 거부 시 불이익 (있는 경우)

동의 방식

  • 서면, 전자문서, 구두 등의 방법
  • 명확하고 구체적으로 동의 받아야 함

포괄적 동의 금지

  • 여러 목적을 하나의 동의로 묶는 것 금지
  • 각 목적별로 개별 동의 필요

3.3 개인신용정보의 제공·활용 제한 (법 제33조, 제34조)

제3자 제공 제한

개인신용정보는 원칙적으로 신용정보주체의 동의 없이 제3자에게 제공 금지

예외:

  1. 법령에 따라 제공하는 경우
  2. 계약 이행을 위해 필요한 경우

목적 외 이용 금지

수집한 개인신용정보를 당초 수집 목적 외의 용도로 이용 금지

4. 신용정보주체의 권리 (법 제42조~제45조)

4.1 신용정보 열람 요구권 (법 제42조)

권리의 내용

신용정보주체는 신용정보회사 등에 자신의 신용정보에 대해 열람 요구 가능

열람 대상:

  • 본인의 개인신용정보
  • 개인신용평점 (신용등급)

열람 방법

  • 서면, 전화, 전자우편, 인터넷
  • 연 3회까지 무료 (4회부터 수수료 가능)

열람 제공 시한

요구받은 날로부터 10일 이내

4.2 신용정보 정정·삭제 요구권 (법 제43조)

권리의 내용

신용정보주체는 신용정보가 사실과 다른 경우 정정 요구 가능

정정·삭제 절차

  1. 신용정보주체가 정정·삭제 요구
  2. 신용정보회사 등이 조사
  3. 7일 이내 조치 또는 조사 중임을 통지
  4. 조사 완료 후 정정·삭제 또는 거부 통지

다툼 발생 시

신용정보주체와 신용정보회사 등 간 다툼이 있는 경우 → 금융위원회에 시정 신청 가능

4.3 신용정보 삭제 요구권 (법 제44조)

보유 기간 경과 시 삭제

신용정보의 보유 기간이 경과한 경우 신용정보주체는 삭제 요구 가능

보유 기간:

  • 대출 등 상거래 관계 종료 후 5년
  • 연체 정보: 연체 해소 후 1년 (단, 장기 연체는 5년)

4.4 동의 철회권 (법 제37조)

권리의 내용

신용정보주체는 언제든지 동의를 철회 가능

철회 방법

동의한 방법보다 쉬운 방법으로 철회 가능해야 함

5. 개인신용정보 유출 통지 (법 제46조)

5.1 유출 통지 의무

신용정보회사 등은 개인신용정보가 유출되었음을 알게 된 때 지체 없이:

  1. 신용정보주체에게 통지
  2. 금융위원회 및 한국인터넷진흥원에 신고

5.2 통지 내용

  1. 유출된 개인신용정보 항목
  2. 유출 시점과 경위
  3. 유출로 인해 발생 가능한 피해 최소화 방법
  4. 신용정보회사 등의 대응 조치
  5. 신용정보주체가 상담·피해 구제를 받을 수 있는 담당 부서 및 연락처

5.3 통지 방법

  • 서면, 전자우편, 팩스, 전화, 문자 등 신용정보주체에게 개별 통지
  • 연락처를 알 수 없는 경우 → 홈페이지 공지 (30일 이상)

6. 신용정보의 안전성 확보 의무 (법 제48조)

6.1 안전성 확보 조치 의무

신용정보회사 등은 개인신용정보의 안전성 확보를 위해 다음 조치를 해야 함:

(1) 내부 관리계획 수립·시행

(2) 접근 권한 관리

(3) 접근 통제

(4) 개인신용정보 암호화

(5) 접속 기록 보관 및 점검

(6) 보안 프로그램 설치 및 운영

(7) 물리적 접근 통제

6.2 구체적인 조치 (시행령 제16조)

(1) 암호화

  • 고유식별정보 (주민등록번호 등) 암호화
  • 비밀번호 일방향 암호화
  • 생체인식정보 암호화
  • 통신 구간 암호화 (SSL/TLS)

(2) 접근 통제

  • 개인신용정보처리시스템에 대한 접근 권한 부여 및 통제
  • 개인별 계정 부여

(3) 접속 기록 보관

  • 3년 이상 보관
  • 월 1회 이상 점검

(4) 보안 프로그램

  • 백신 프로그램 설치 및 최신 업데이트

(5) 물리적 보안

  • 전산실 등 출입 통제

7. 마이데이터 (본인신용정보관리업, 법 제2조 제9호의3, 제6장의2)

7.1 마이데이터란?

마이데이터 (본인신용정보관리업): 신용정보주체가 자신의 신용정보를 한 곳에 모아 통합 조회하고, 이를 기반으로 맞춤형 금융상품 추천 등을 받을 수 있도록 하는 서비스

2020년 8월 신용정보법 개정으로 도입

7.2 마이데이터 사업자의 역할

(1) 신용정보 전송 요구

신용정보주체의 동의를 받아 금융기관 등에 신용정보 전송 요구

(2) 신용정보 통합 관리

여러 금융기관에 흩어진 신용정보를 한 곳에 모아 관리

(3) 맞춤형 서비스 제공

  • 자산 관리
  • 금융상품 추천
  • 신용관리

7.3 마이데이터 사업자의 의무

(1) 본인 동의

신용정보주체의 명시적 동의 필요

(2) 안전성 확보

개인신용정보의 안전성 확보 조치

(3) 목적 외 이용 금지

동의받은 목적 외 이용 금지

7.4 주요 마이데이터 서비스

  • 토스
  • 뱅크샐러드
  • 핀다
  • 카카오페이
  • 네이버

8. 보안 컨설팅 관점의 시사점

8.1 금융권 신용정보 처리 시스템 설계

(1) 동의 관리 시스템 (CMS)

  • 개별 동의 관리
  • 동의 이력 기록
  • 동의 철회 기능

(2) 암호화

  • 주민등록번호 등 고유식별정보 암호화
  • 비밀번호 일방향 암호화
  • 통신 구간 암호화

(3) 접근 통제

  • 최소 권한 부여
  • 역할 기반 접근 통제 (RBAC)

(4) 접속 기록 관리

  • 3년 이상 보관
  • 월 1회 이상 점검
  • 이상 접근 탐지

8.2 신용정보 유출 대응 체계

사전 준비

  1. 유출 대응 절차 수립
  2. 비상 연락망 구축
  3. 백업 체계 구축

유출 발생 시

  1. 유출 사실 확인 및 범위 파악
  2. 신용정보주체 통지 (지체 없이)
  3. 금융위원회·한국인터넷진흥원 신고
  4. 원인 분석 및 재발 방지

8.3 마이데이터 사업자 보안

(1) API 보안

  • 금융기관과의 안전한 API 통신
  • API 인증 및 암호화

(2) 동의 관리

  • 신용정보주체의 명시적 동의
  • 동의 범위 명확화

(3) 데이터 보안

  • 수집한 신용정보의 안전한 보관
  • 암호화, 접근 통제

9. 실무 사례

사례 1: 은행의 대출 심사

상황: 고객이 은행에 대출 신청

신용정보 처리:

  1. 고객 동의: 개인신용정보 조회 동의
  2. 신용조회회사에 신용정보 요청
  3. 신용평점 확인
  4. 대출 심사
  5. 대출 승인 또는 거부

보안 조치:

  • 신용정보 암호화
  • 접근 권한 통제 (대출 담당자만)
  • 조회 기록 3년 보관

사례 2: 신용카드 발급

상황: 고객이 신용카드 발급 신청

신용정보 처리:

  1. 고객 동의: 개인신용정보 수집·조회·제공 동의
  2. 신용조회
  3. 카드 발급 심사
  4. 신용정보 보관 (계약 종료 후 5년)

보안 조치:

  • 주민등록번호 암호화
  • 신용정보 접근 권한 제한
  • 접속 기록 보관 및 점검

사례 3: 마이데이터 서비스

상황: 고객이 마이데이터 앱 (예: 토스) 가입

처리 절차:

  1. 고객 동의: 여러 금융기관의 신용정보 전송 요구 동의
  2. 마이데이터 사업자가 각 금융기관에 API로 정보 요청
  3. 금융기관이 신용정보 전송
  4. 마이데이터 앱에서 통합 조회
  5. 맞춤형 금융상품 추천

보안 조치:

  • API 암호화 통신
  • 수집 정보 암호화 저장
  • 동의 범위 내에서만 이용

10. 체크리스트

  • 개인신용정보 수집 시 동의를 받는가?
  • 민감정보 수집 시 별도 동의를 받는가?
  • 제3자 제공 시 개별 동의를 받는가?
  • 포괄적 동의를 받지 않는가?
  • 신용정보주체가 열람을 요구할 수 있는 절차가 있는가?
  • 신용정보주체가 정정·삭제를 요구할 수 있는 절차가 있는가?
  • 보유 기간 경과 후 신용정보를 삭제하는가?
  • 유출 시 통지·신고 체계가 마련되어 있는가?
  • 개인신용정보를 암호화하는가?
  • 접속 기록을 3년 이상 보관하고 월 1회 점검하는가?

학습 정리

오늘 학습한 핵심 내용:

  • 신용정보법은 신용정보의 이용 및 보호를 위한 특별법
  • 개인신용정보 수집·제공 시 명시적 동의 필요, 포괄적 동의 금지
  • 민감정보(건강, 사상 등)는 원칙적 수집 금지
  • 신용정보주체는 열람, 정정·삭제, 동의 철회 권리 보유
  • 유출 시 신용정보주체 통지 + 금융위원회·KISA 신고
  • 안전성 확보 조치: 암호화, 접근 통제, 접속 기록 3년 보관 등
  • 마이데이터는 신용정보를 한 곳에 모아 관리하는 서비스
  • 금융권은 신용정보법 + 전자금융거래법 + 개인정보보호법 모두 준수 필요

다음 학습 주제

이것으로 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보법의 핵심 내용을 모두 학습했습니다!

다음 단계는 산업별 규제 또는 인증 및 국제 표준으로 넘어갈 수 있습니다.