Day 13: 신용정보법
목차
Day 13: 신용정보법 #
1. 신용정보법의 개요 #
1.1 신용정보법이란? #
정식 명칭: 신용정보의 이용 및 보호에 관한 법률 (약칭: 신용정보법)
신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 기하며, 신용정보의 오용·남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지하기 위한 법률
1.2 제정 배경 및 연혁 #
- 1995년 1월 5일 제정: “신용정보의이용및보호에관한법률”
- 2020년 8월 5일 전부 개정: 데이터 3법 개정
- 마이데이터 도입
- 가명정보 도입
- 개인신용정보 보호 강화
1.3 적용 범위 #
적용 대상 #
신용정보를 처리하는 자:
- 신용정보회사 (신용조회회사, 신용평가회사, 채권추심회사 등)
- 금융기관 (은행, 증권사, 보험사, 카드사 등)
- 공공기관
- 기타 신용정보를 처리하는 자
신용정보의 정의 (법 제2조 제1호) #
신용정보: 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보
1. 특정 신용정보주체를 식별할 수 있는 정보
- 성명, 주민등록번호, 주소, 연락처 등
2. 신용정보주체의 거래 내용을 판단할 수 있는 정보
- 대출, 보증, 담보제공
- 신용카드 발급·사용
- 상품·서비스 구매·이용
- 채무 불이행
3. 신용정보주체의 신용도를 판단할 수 있는 정보
- 신용평점
- 신용등급
4. 신용정보주체의 신용거래능력을 판단할 수 있는 정보
- 소득, 재산, 채무
- 직업, 근속연수
1.4 개인정보보호법과의 관계 #
- 신용정보법은 특별법
- 신용정보 처리에 대해서는 신용정보법 우선 적용
- 신용정보법에 규정이 없는 사항은 개인정보보호법 적용
적용 우선순위:
신용정보법 (특별법)
↓
개인정보보호법 (일반법)
2. 신용정보법의 주요 내용 #
2.1 법의 구조 #
신용정보법은 크게 9개 장으로 구성:
제1장 총칙
제2장 신용정보회사 등
제3장 신용정보의 이용 및 보호
제4장 개인신용정보의 보호
제5장 본인신용정보관리업 (마이데이터)
제6장 신용정보집중기관 및 신용조사회사
제7장 감독
제8장 벌칙
제9장 보칙
2.2 보안 컨설팅 관점에서 중요한 조항 #
| 조항 | 내용 | 중요도 |
|---|---|---|
| 제32조~제40조 | 개인신용정보의 수집·조사, 제공·활용 | ★★★ |
| 제41조 | 개인신용정보의 정확성 보장 등 | ★★ |
| 제42조~제45조 | 신용정보주체의 권리 | ★★★ |
| 제46조 | 개인신용정보 유출 등의 통지 | ★★★ |
| 제48조 | 신용정보의 안전성 확보 의무 | ★★★ |
3. 개인신용정보의 수집 및 이용 (법 제32조~제34조) #
3.1 개인신용정보 수집·조사의 제한 (법 제32조) #
수집 제한 원칙 #
신용정보회사 등은 다음 중 하나에 해당하는 경우에만 개인신용정보 수집·조사 가능:
- 신용정보주체의 동의를 받은 경우
- 법령에 따라 의무를 이행하기 위해 불가피한 경우
- 계약 체결·유지 등을 위해 불가피한 경우
수집 금지 정보 (법 제32조 제2항) #
다음 정보는 원칙적으로 수집 금지:
사상, 신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 → 민감정보
범죄경력 자료에 해당하는 정보
개인의 질병, 상해 또는 이와 관련한 치료 등에 관한 정보
예외:
- 신용정보주체가 명시적으로 동의한 경우
- 법령에서 구체적으로 허용한 경우
3.2 개인신용정보의 제공·활용에 대한 동의 (법 제34조) #
동의 받을 때 고지사항 #
개인신용정보를 제공하거나 활용하려는 경우 다음 사항을 명확하게 고지하고 동의 필요:
- 개인신용정보를 제공받는 자
- 개인신용정보를 제공받는 자의 이용 목적
- 제공하는 개인신용정보의 내용
- 개인신용정보를 제공받는 자의 보유 및 이용 기간
- 동의를 거부할 권리 및 동의 거부 시 불이익 (있는 경우)
동의 방식 #
- 서면, 전자문서, 구두 등의 방법
- 명확하고 구체적으로 동의 받아야 함
포괄적 동의 금지 #
- 여러 목적을 하나의 동의로 묶는 것 금지
- 각 목적별로 개별 동의 필요
3.3 개인신용정보의 제공·활용 제한 (법 제33조, 제34조) #
제3자 제공 제한 #
개인신용정보는 원칙적으로 신용정보주체의 동의 없이 제3자에게 제공 금지
예외:
- 법령에 따라 제공하는 경우
- 계약 이행을 위해 필요한 경우
목적 외 이용 금지 #
수집한 개인신용정보를 당초 수집 목적 외의 용도로 이용 금지
4. 신용정보주체의 권리 (법 제42조~제45조) #
4.1 신용정보 열람 요구권 (법 제42조) #
권리의 내용 #
신용정보주체는 신용정보회사 등에 자신의 신용정보에 대해 열람 요구 가능
열람 대상:
- 본인의 개인신용정보
- 개인신용평점 (신용등급)
열람 방법 #
- 서면, 전화, 전자우편, 인터넷 등
- 연 3회까지 무료 (4회부터 수수료 가능)
열람 제공 시한 #
요구받은 날로부터 10일 이내
4.2 신용정보 정정·삭제 요구권 (법 제43조) #
권리의 내용 #
신용정보주체는 신용정보가 사실과 다른 경우 정정 요구 가능
정정·삭제 절차 #
- 신용정보주체가 정정·삭제 요구
- 신용정보회사 등이 조사
- 7일 이내 조치 또는 조사 중임을 통지
- 조사 완료 후 정정·삭제 또는 거부 통지
다툼 발생 시 #
신용정보주체와 신용정보회사 등 간 다툼이 있는 경우 → 금융위원회에 시정 신청 가능
4.3 신용정보 삭제 요구권 (법 제44조) #
보유 기간 경과 시 삭제 #
신용정보의 보유 기간이 경과한 경우 신용정보주체는 삭제 요구 가능
보유 기간:
- 대출 등 상거래 관계 종료 후 5년
- 연체 정보: 연체 해소 후 1년 (단, 장기 연체는 5년)
4.4 동의 철회권 (법 제37조) #
권리의 내용 #
신용정보주체는 언제든지 동의를 철회 가능
철회 방법 #
동의한 방법보다 쉬운 방법으로 철회 가능해야 함
5. 개인신용정보 유출 통지 (법 제46조) #
5.1 유출 통지 의무 #
신용정보회사 등은 개인신용정보가 유출되었음을 알게 된 때 지체 없이:
- 신용정보주체에게 통지
- 금융위원회 및 한국인터넷진흥원에 신고
5.2 통지 내용 #
- 유출된 개인신용정보 항목
- 유출 시점과 경위
- 유출로 인해 발생 가능한 피해 최소화 방법
- 신용정보회사 등의 대응 조치
- 신용정보주체가 상담·피해 구제를 받을 수 있는 담당 부서 및 연락처
5.3 통지 방법 #
- 서면, 전자우편, 팩스, 전화, 문자 등 신용정보주체에게 개별 통지
- 연락처를 알 수 없는 경우 → 홈페이지 공지 (30일 이상)
6. 신용정보의 안전성 확보 의무 (법 제48조) #
6.1 안전성 확보 조치 의무 #
신용정보회사 등은 개인신용정보의 안전성 확보를 위해 다음 조치를 해야 함:
(1) 내부 관리계획 수립·시행 #
(2) 접근 권한 관리 #
(3) 접근 통제 #
(4) 개인신용정보 암호화 #
(5) 접속 기록 보관 및 점검 #
(6) 보안 프로그램 설치 및 운영 #
(7) 물리적 접근 통제 #
6.2 구체적인 조치 (시행령 제16조) #
(1) 암호화 #
- 고유식별정보 (주민등록번호 등) 암호화
- 비밀번호 일방향 암호화
- 생체인식정보 암호화
- 통신 구간 암호화 (SSL/TLS)
(2) 접근 통제 #
- 개인신용정보처리시스템에 대한 접근 권한 부여 및 통제
- 개인별 계정 부여
(3) 접속 기록 보관 #
- 3년 이상 보관
- 월 1회 이상 점검
(4) 보안 프로그램 #
- 백신 프로그램 설치 및 최신 업데이트
(5) 물리적 보안 #
- 전산실 등 출입 통제
7. 마이데이터 (본인신용정보관리업, 법 제2조 제9호의3, 제6장의2) #
7.1 마이데이터란? #
마이데이터 (본인신용정보관리업): 신용정보주체가 자신의 신용정보를 한 곳에 모아 통합 조회하고, 이를 기반으로 맞춤형 금융상품 추천 등을 받을 수 있도록 하는 서비스
2020년 8월 신용정보법 개정으로 도입
7.2 마이데이터 사업자의 역할 #
(1) 신용정보 전송 요구 #
신용정보주체의 동의를 받아 금융기관 등에 신용정보 전송 요구
(2) 신용정보 통합 관리 #
여러 금융기관에 흩어진 신용정보를 한 곳에 모아 관리
(3) 맞춤형 서비스 제공 #
- 자산 관리
- 금융상품 추천
- 신용관리
7.3 마이데이터 사업자의 의무 #
(1) 본인 동의 #
신용정보주체의 명시적 동의 필요
(2) 안전성 확보 #
개인신용정보의 안전성 확보 조치
(3) 목적 외 이용 금지 #
동의받은 목적 외 이용 금지
7.4 주요 마이데이터 서비스 #
- 토스
- 뱅크샐러드
- 핀다
- 카카오페이
- 네이버 등
8. 보안 컨설팅 관점의 시사점 #
8.1 금융권 신용정보 처리 시스템 설계 #
(1) 동의 관리 시스템 (CMS) #
- 개별 동의 관리
- 동의 이력 기록
- 동의 철회 기능
(2) 암호화 #
- 주민등록번호 등 고유식별정보 암호화
- 비밀번호 일방향 암호화
- 통신 구간 암호화
(3) 접근 통제 #
- 최소 권한 부여
- 역할 기반 접근 통제 (RBAC)
(4) 접속 기록 관리 #
- 3년 이상 보관
- 월 1회 이상 점검
- 이상 접근 탐지
8.2 신용정보 유출 대응 체계 #
사전 준비 #
- 유출 대응 절차 수립
- 비상 연락망 구축
- 백업 체계 구축
유출 발생 시 #
- 유출 사실 확인 및 범위 파악
- 신용정보주체 통지 (지체 없이)
- 금융위원회·한국인터넷진흥원 신고
- 원인 분석 및 재발 방지
8.3 마이데이터 사업자 보안 #
(1) API 보안 #
- 금융기관과의 안전한 API 통신
- API 인증 및 암호화
(2) 동의 관리 #
- 신용정보주체의 명시적 동의
- 동의 범위 명확화
(3) 데이터 보안 #
- 수집한 신용정보의 안전한 보관
- 암호화, 접근 통제
9. 실무 사례 #
사례 1: 은행의 대출 심사 #
상황: 고객이 은행에 대출 신청
신용정보 처리:
- 고객 동의: 개인신용정보 조회 동의
- 신용조회회사에 신용정보 요청
- 신용평점 확인
- 대출 심사
- 대출 승인 또는 거부
보안 조치:
- 신용정보 암호화
- 접근 권한 통제 (대출 담당자만)
- 조회 기록 3년 보관
사례 2: 신용카드 발급 #
상황: 고객이 신용카드 발급 신청
신용정보 처리:
- 고객 동의: 개인신용정보 수집·조회·제공 동의
- 신용조회
- 카드 발급 심사
- 신용정보 보관 (계약 종료 후 5년)
보안 조치:
- 주민등록번호 암호화
- 신용정보 접근 권한 제한
- 접속 기록 보관 및 점검
사례 3: 마이데이터 서비스 #
상황: 고객이 마이데이터 앱 (예: 토스) 가입
처리 절차:
- 고객 동의: 여러 금융기관의 신용정보 전송 요구 동의
- 마이데이터 사업자가 각 금융기관에 API로 정보 요청
- 금융기관이 신용정보 전송
- 마이데이터 앱에서 통합 조회
- 맞춤형 금융상품 추천
보안 조치:
- API 암호화 통신
- 수집 정보 암호화 저장
- 동의 범위 내에서만 이용
10. 체크리스트 #
- 개인신용정보 수집 시 동의를 받는가?
- 민감정보 수집 시 별도 동의를 받는가?
- 제3자 제공 시 개별 동의를 받는가?
- 포괄적 동의를 받지 않는가?
- 신용정보주체가 열람을 요구할 수 있는 절차가 있는가?
- 신용정보주체가 정정·삭제를 요구할 수 있는 절차가 있는가?
- 보유 기간 경과 후 신용정보를 삭제하는가?
- 유출 시 통지·신고 체계가 마련되어 있는가?
- 개인신용정보를 암호화하는가?
- 접속 기록을 3년 이상 보관하고 월 1회 점검하는가?
학습 정리 #
오늘 학습한 핵심 내용:
- 신용정보법은 신용정보의 이용 및 보호를 위한 특별법
- 개인신용정보 수집·제공 시 명시적 동의 필요, 포괄적 동의 금지
- 민감정보(건강, 사상 등)는 원칙적 수집 금지
- 신용정보주체는 열람, 정정·삭제, 동의 철회 권리 보유
- 유출 시 신용정보주체 통지 + 금융위원회·KISA 신고
- 안전성 확보 조치: 암호화, 접근 통제, 접속 기록 3년 보관 등
- 마이데이터는 신용정보를 한 곳에 모아 관리하는 서비스
- 금융권은 신용정보법 + 전자금융거래법 + 개인정보보호법 모두 준수 필요
다음 학습 주제 #
이것으로 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보법의 핵심 내용을 모두 학습했습니다!
다음 단계는 산업별 규제 또는 인증 및 국제 표준으로 넘어갈 수 있습니다.