보험판매 시장의 중심이 보험사에서 GA(General Agency, 보험대리점)로 이동한 지 오래다. 오늘날 GA는 보험영업의 70% 이상을 담당하며 사실상 보험유통의 허브 역할을 하고 있다. 그러나 시스템은 여전히 허술하다. 영업조직 관리와 수수료 정산만 중시한 나머지, 정보보호 체계는 뒷전으로 밀려왔다. 이제 GA의 정보유출 위험은 산업 전체의 신뢰를 뒤흔드는 뇌관이 되고 있다.
문제 핵심은 제도적 공백이다. 현행 법체계에서 GA는 '고객정보의 실제 보유 주체'로 인정받지 못한다. 보험계약 당사자가 보험사이기 때문에 개인정보보호 책임도 보험사에 있다고 보는 게 금융당국 기본 입장이다. 그 결과, GA는 정보보호 관리체계(ISMS-P) 인증이나 내부보안 규정 적용 대상에서 사실상 제외되어 있다. 하지만 현실을 보자. 설계사가 고객 이름과 주민번호, 연락처, 계약내역을 관리하는 곳은 보험사가 아니라 GA다. 정보의 생성·보유·활용이 모두 GA 내부에서 이뤄지는 상황에서 법적 책임이 모호하다는 이유로 관리 의무를 면제하는 것은 심각한 제도적 허점이다.
GA 전산망의 낙후함은 또 다른 문제다. 여전히 수수료 계산에만 집중된 구형 시스템이 많고, 설계사 코드 도용이나 타지점 고객정보 열람 같은 사고가 빈번히 발생한다. 일부 중소형 GA는 클라우드 보안이나 VPN 같은 기본적 보호장치조차 갖추지 못한 채 외주 서버에 민감 정보를 저장한다. 이는 단순한 편의의 문제가 아니라 금융소비자의 생명정보를 다루는 '보안 리스크'다. 개인정보 유출 한 건은 단일 GA의 문제가 아니라 업계 전체의 신뢰 하락으로 이어진다.
이제 GA 보안 체계는 '선택'이 아니라 '의무'로 전환돼야 한다. 정부는 GA를 정보처리조직으로 명확히 규정하고, 정보보호 관리체계 인증(ISMS-P) 도입을 단계적으로 의무화해야 한다. 동시에 개인정보의 암호화 저장·접근권한 통제·로그 기록 등 기술적 보호조치를 최소 기준으로 규정할 필요가 있다.
보험협회 차원에서도 표준화된 보안 가이드라인을 마련하고, 전산 시스템 보안성 평가를 정기적으로 시행해야 한다.
기술적 대책도 시급하다. 최근 일부 GA 시스템은 접근권한 통제, 로그관리, VPN 암호화, 이중 인증 등을 적용해 내부통제 체계를 강화하고 있다. 고객정보는 ARIA·SHA256 암호화 알고리즘으로 저장하고, 사용자의 조회·출력 이력을 실시간으로 기록한다. 계약단계에서 전자동의서 서명, 불완전판매 자동 모니터링 등 준법감시 기능을 탑재한 시스템도 등장했다. 이러한 혁신은 단순한 전산 고도화가 아니라, GA가 금융기관 수준의 보안 거버넌스를 갖추는 첫걸음이다.
GA 산업은 지금 '대형화'와 'M&A'의 물결 속에 있다. 합병 과정에서 수만 건의 고객정보와 계약 데이터가 이동하는데, 이 역시 또 하나의 보안 리스크다. 통합 전산을 갖추지 못한 상태에서의 데이터 병합은 곧 대형 유출사고로 이어질 수 있다. 합병 시점부터 데이터 마이그레이션 검증과 암호화 전송, 권한 재설정 등 표준 프로세스를 의무화해야 한다. 궁극적으로는 GA 스스로가 정보보호를 '비용'이 아니라 '경영 리스크 관리'로 인식해야 한다. 이억원 금융위원장도 이 같은 사각 지대에 대한 대비를 분명히 해야 한다.
길재식 기자 osolgil@etnews.com
![[단독] 인체조직 수입하는 조직은행, 행정처분 5년간 17건 달해](https://www.bizhankook.com/upload/bk/article/202510/thumb/30511-74404-sampleM.jpg)
