롯데카드가 금융권 처음으로 '해킹'으로 영업정지 제재를 부과받을지 주목된다. 금융사가 내부 직원의 정보 유출로 영업정지 중징계를 받은 적은 있어도 해킹으론 아직 전례가 없다. 의도적 정보 유출이 아닌 해킹에는 엄벌이 오히려 비효율적이라는 주장도 나온다.
6일 금융권에 따르면 금융감독원은 오는 16일 제재심의위원회에 롯데카드 제재 안건을 상정한다. 지난해 9월 297만명 고객 개인정보가 해킹으로 유출된 데 따른 조치다.
롯데카드는 이미 사전 제재안을 통보받은 것으로 알려졌다. 과징금은 최대 50억원이 부과될 전망이다. 신용정보법에 따르면 개인정보를 분실·도난·누출·변조 및 훼손하면 전체 매출 3% 이하에 해당하는 과징금이 부과된다. 하지만 단서 조항에 따라 외부 해킹이나 분실 등 제3자의 불법적인 접근으로 정보가 유출되면 50억원 이하 과징금을 부과받는다.
관건은 과징금 규모보다 영업정지 여부다. 금감원 사전 통보에서 영업정지 처분이 논의되는 것으로 알려졌다. 여신전문금융업법에 따르면 정보 유출 같은 위반 행위 발생 시 해당 금융사에 최대 6개월 영업정지 처분을 내릴 수 있다. 롯데카드의 경우 6개월보다는 낮은 수준의 영업정지 기간이 거론된다.
업계에선 과징금보단 영업정지가 주는 타격이 더 클 것으로 본다. 영업이 정지되면 카드사는 신규 회원 모집을 할 수 없고 카드론 취급도 일부 제한돼 수익성에 미치는 영향이 크다.
지금까지 금융사가 외부 사이버 침해로 영업정지를 부과받은 사례는 없다. 2014년 KB국민카드·롯데카드·NH농협카드에서 발생한 개인정보 유출 사태 때는 3개 카드사가 '영업정지 3개월' 처분을 받았다. 개인 내부 직원이 정보를 유출한 것으로 해킹은 아니었다. 2011년에는 현대캐피탈이 해킹당해 고객 정보가 새 나갔지만 기관과 경영진 징계만 받았을 뿐 영업정지 처분은 받지 않았다.
금감원 관계자는 "롯데카드 제재 수준은 확정되기 전까지 확인해줄 수 없다"고만 밝혔다.
금융권은 롯데카드 제재 수위에 촉각을 세우고 있다. 지난해부터 금융사에서 외부 사이버 침해사고가 빈번하게 발생해서다. 일각에선 엄벌 중심의 제재가 오히려 기업의 소극적인 해킹 대응을 유도한다고 우려한다. 롯데카드는 해킹 사태 직후 바로 금융당국에 신고했으며, 대표를 포함한 경영진이 신속하게 사임한 만큼 제재 논의에서 이를 참작해야 한다는 목소리가 나온다.
한국정보보호산업협회의 '2025 정보보호 실태조사'에 따르면, 정보 침해사고를 경험한 기업 중 73%는 외부로부터 침투한 비인가 접근(해킹) 사례였다. 그럼에도 침해사고 신고율은 31.4%에 그쳤다. 침해사고 이후 별다른 대응 활동을 하지 않았다는 응답도 41.4%에 달했다. 기업이 처벌을 최소화하려다 보니 오히려 해킹에 제대로 대응하지 못한 것이다.
금융권 관계자는 "기업이 해커의 공격을 100% 차단하는 건 현실적으로 어렵다"며"사고 이후 결과에 따라 엄벌을 가하는 것보단 신속한 대응과 실질적인 고객 보호 조치에 어느 정도 제재 감경이 필요하다" 말했다.