금감원 사전통보서 과징금 최대50억·정지처분 논의
16일 제재심 안건상정… 금융권 전례없어 수위 촉각
롯데카드가 금융권 처음으로 '해킹'으로 영업정지 제재를 부과받을지 주목된다. 금융사가 내부 직원의 정보유출로 영업정지 중징계를 받은 적은 있어도 해킹으론 아직 전례가 없다. 의도적 정보유출이 아닌 해킹에는 엄벌이 오히려 비효율적이라는 주장도 나온다.
6일 금융권에 따르면 금융감독원은 오는 16일 열리는 제재심의위원회에 롯데카드 제재안건을 상정한다. 지난해 9월 고객 297만명의 개인정보가 해킹으로 유출된 데 따른 조치다.
롯데카드는 이미 사전 제재안을 통보받은 것으로 알려졌다. 과징금은 최대 50억원이 부과될 전망이다. 신용정보법에 따르면 개인정보를 분실·도난·누출·변조 및 훼손하면 전체 매출 3% 이하에 해당하는 과징금이 부과된다. 하지만 단서조항에 따라 외부해킹이나 분실 등 제3자의 불법적인 접근으로 정보가 유출되면 50억원 이하 과징금을 부과받는다.
관건은 과징금 규모보다 영업정지 여부다. 금감원 사전 통보에서 영업정지 처분이 논의된 것으로 알려졌다. 여신전문금융업법에 따르면 정보유출 같은 위반행위 발생시 해당 금융사에 최대 6개월의 영업정지 처분을 내릴 수 있다. 롯데카드의 경우 6개월보다는 낮은 수준의 영업정지 기간이 거론된다.
업계에선 과징금보다 영업정지가 주는 타격이 더 클 것이라고 본다. 영업이 정지되면 카드사는 신규회원 모집을 할 수 없고 카드론 취급도 일부 제한돼 수익성에 미치는 영향이 크다.
지금까지 금융사가 외부 사이버 침해로 영업정지를 부과받은 사례는 없다. 2014년 KB국민카드·롯데카드·NH농협카드에서 발생한 개인정보 유출사태 때는 3개 카드사가 '영업정지 3개월' 처분을 받았다. 내부 직원이 정보를 유출한 것으로 해킹은 아니었다. 2011년에는 현대캐피탈이 해킹당해 고객정보가 새어나갔지만 기관과 경영진 징계만 받았을 뿐 영업정지 처분은 받지 않았다. 금감원 관계자는 "롯데카드 제재수준은 확정되기 전까지 확인해줄 수 없다"고만 밝혔다.
금융권은 롯데카드 제재수위에 촉각을 세우고 있다. 지난해부터 금융사에서 외부 사이버 침해사고가 빈번히 발생해서다. 일각에선 엄벌 중심의 제재가 오히려 기업의 소극적인 해킹대응을 유도한다고 우려한다. 롯데카드는 해킹사태 직후 바로 금융당국에 신고했으며 대표를 포함한 경영진이 신속하게 사임한 만큼 제재논의에서 이를 참작해야 한다는 목소리가 나온다.
독자들의 PICK!
한국정보보호산업협회의 '2025 정보보호 실태조사'에 따르면 정보 침해사고를 경험한 기업의 73%는 외부로부터 침투한 비인가 접근(해킹) 사례였다. 그럼에도 침해사고 신고율은 31.4%에 그쳤다. 침해사고 이후 별다른 대응활동을 하지 않았다는 응답도 41.4%에 달했다. 기업이 처벌을 최소화하려다 보니 오히려 해킹에 제대로 대응하지 못한 것이다. 금융권 관계자는 "기업이 해커의 공격을 100% 차단하긴 현실적으로 어렵다"며 "사고 이후 결과에 따라 엄벌을 가하기보다 신속한 대응과 실질적인 고객보호 조치에 어느 정도 제재감경이 필요하다"고 말했다.
