롯데카드 해킹사고로 297만명의 정보가 대량유출됐지만 롯데카드에 대한 과징금은 최대 50억원에 그칠 전망이다. 개인정보법이 적용되면 매출액의 3%까지 과징금 부과가 가능하지만 개인정보와 신용정보가 동시에 유출돼 신용정보법을 우선 적용해야 하기 때문이다. 신용정보법에서는 해킹으로 인한 정보 유출은 상한선이 50억원에 그친다. 정부가 '징벌적 과징금' 도입을 서두르고 있으나 롯데카드에는 소급 적용할 수 없다.
22일 정부 등에 따르면 롯데카드가 신정법과 개보법의 과징금 '사각지대'에 따라 결과적으로 과징금이 최대 50억원에 그칠 가능성이 높은 것으로 전해졌다.
개보법상 개인정보가 유출되면 매출액의 최대 3%까지 과징금 부과가 가능하다. 지난해 매출액이 3조원인 롯데카드에 대해 개보법을 적용하면 과징금 900억원이 나온다는 뜻이다. 반면 신정법에서는 '해킹'에 의한 과징금 한도는 최대 50억원으로 개보법의 18분의 1수준에 그친다. 대출이나 신용카드 정보 등 신용거래와 관련된 정보는 신정법을 적용한다.
문제는 법 체계상 개보법은 다른 법에 특별한 규정이 없을 때만 적용할 수 있다는 점이다. 롯데카드가 해킹으로 유출한 정보가 개인정보가 아닌 신용정보(개인정보가 결합된)에 해당하면 신정법을 적용해야 한다.
롯데카드 측이 지난 19일 공개한 정보유출 유형을 보면 △주민번호와 생년월일, 전화번호 등 개인정보와 카드번호, 유효기간, CVC(신용카드 뒷면의 3자리 숫자), 온라인 결제정보 등 신용정보가 복합적으로 유출된 건수는 모두 75만건에 달한다. △카드번호와 온라인결제정보 등 순수하게 신용정보만 유출된 건수는 222만건이다. 롯데카드가 금융당국 쪽에 비공식적으로 밝힌 △순수한 개인정보(주민번호, 생년월일, 전화번호 등) 유출건은 950건에 그친다. 결과적으로 총 297만건 중 75건에는 개인정보가 포함돼 있고, 950건은 순수한 개인정보만 들어가 있다.
신용정보와 결합돼 나간 개인정보는 신용정보로 판단해 신정법이 적용된다. 한 정부 관계자는 "KT나 SKT 처럼 순수하게 개인정보가 유출된 게 아니라 온라인 결제 거래로 인해 유출된 주민번호라면 신정법 적용 대상으로 볼 여지가 크다"고 해석했다.
롯데카드도 이를 의식해 해킹사고가 터진 후 개인정보보호위원회에는 자진신고하지 않았다. 조좌진 롯데카드 대표는 개보법상 자진신고 건수 기준(1000건 이상)에 미달해 개보위에 정보유출 신고를 하지 않았다는 취지로 정부에 해명했다. 순수한 개인정보 유출건이 950건이기 때문이다. 다만 개보법에서도 해킹에 의한 유출은 1건이라도 나오면 즉시 신고대상이다.
개보법과 신정법 사각지대는 지난 3월 개보위의 우리카드 과징금 제재 사례에서도 이미 드러났다. 우리카드가 가맹점주 20만명의 성명, 주민번호, 휴대전화번호 등 개인정보를 무단 이용해 134억원의 과징금(개보법 적용)이 부과됐다. 당시 우리카드는 이에 대해 개인정보가 아닌 신용정보라는 주장을 폈다.
정부는 이재명 대통령 지시에 따라 디지털금융보안법 제정으로 징벌적 과징금 도입을 서두르고 있으나, 롯데카드에는 소급해서 적용하기는 어렵다. 향후 솜방망이 처벌 논란이 확산할 수 있다.