[뉴스토마토 배희 기자] 금융사에서 개인정보 유출 사고가 잦은 주된 이유 주 하나로 솜방망이 처벌이 꼽힙니다. 최근 수백만명의 개인정보 유출 사고를 일으킨 롯데카드에 개인정보보호위원회가 내린 과징금도 고작 90억원대에 불과했습니다. 수억달러에 이르는 징벌적 과징금을 부과하는 해외 주요국과 대비된다는 지적입니다.
297만명 개인정보 유출에 과징금 96억
13일 금융권에 따르면 개보위는 지난 11일 전체회의를 열고 개인정보보호 법규를 위반한 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과한다고 밝혔습니다. 롯데카드에서는 지난해 297만 고객의 개인정보 해킹사태가 발생했습니다. 그 중 45만명은 주민등록번호도 함께 유출됐습니다.
개보위 조사 결과에 따르면 롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 보안 조치에 심각한 결함을 드러냈습니다. 로그 파일에는 최소한의 개인정보만 기록해야 함에도 롯데카드는 민감한 개인정보를 저장하고 암호화 조치 또한 충분히 하지 않았습니다. 개보위는 이로 인해 해킹사고가 대규모 개인정보 유출로 이어졌다고 지적했습니다.
현행 개인정보보호법상 과징금 상한선은 전체 매출액의 3% 수준입니다. 개보위는 롯데카드의 주민등록번호 처리를 중심으로 이번 처분을 결정했고, 금융당국은 개인신용정보 유출과 관련한 안전조치의무를 들여다보고 있습니다. 신용정보법은 최대 6개월의 영업정지와 매출액 3%를 최고 제재 수위로 규정하고 있는데요. 해킹으로 인한 정보 유출의 경우 50억원을 상한으로 두고 있다는 점에서 과징금 규모는 사실상 빤한 상황입니다.
롯데카드의 2024년 매출액이 3조원을 상회한다는 점을 고려할 때 이번 개보위 과징금은 매출액의 0.3% 수준에 불과합니다. 이번 사고로 민감한 개인 정보가 대량 유출됐음에도 제재 수위가 기대치에 못 미치면서 국내 과징금 체계의 구조적 한계를 지적하는 목소리가 높습니다. 김승주 고려대 정보보호대학원 교수는 "해킹으로 인한 개인정보 유출 사고는 신용정보법이 개인정보법보다 상한 기준이 훨씬 낮다"며 "과징금 비율과 한도를 일치시켜야 한다"고 지적했습니다.
유럽, 매출액 4% 과징금…미국은 8000억원 징벌적 배상도
우리나라와 달리 해외 주요국은 기업의 개인정보 유출에 강력한 제재를 가하고 있습니다. 지난 2017년 미국 신용평가사 에퀴팩스 사례가 대표적입니다. 당시 해킹으로 1억4700만명의 개인정보가 유출되자 에퀴팩스는 미국 연방거래위원회(FTC)와 7억 달러(한화 약 8000억원)의 거액을 합의금으로 지급했습니다.
주목할 점은 기업 과실로 인한 사회적 비용을 기업이 직접 책임지게 하는 징벌적 배상 시스템이 작동하도록 합의금을 구성한 점입니다. 전체 합의 금액 7억 달러 중 4억2500만 달러(한화 약 5000억원)는 피해 소비자들을 위해 사용하도록 강제했습니다. 유럽연합(EU)의 일반개인정보보호규정(GDPR)은 위반 시 전 세계 매출액의 4% 또는 2000만 유로(한화 약 3400억원) 중에서 더 큰 금액을 상한으로 정하고 있습니다.
2019년 영국 항공(British Airways)은 고객 50만명의 개인정보가 허위 인터넷 사이트를 통해 유출되는 사고와 관련해 충분한 보호 조치를 취하지 않았다는 이유로 1억8300만 파운드(한화 약 2700억원)의 과징금을 부과받았습니다.
2021년 메타플랫폼 계열 인스타그램도 아동 관련 개인정보보호 규정을 위반해 아일랜드 데이터보호위원회(DPC)로부터 4억500만유로(한화 약 5600억원)의 과징금이 부과된 바 있습니다.
유럽의 기준을 적용하면 롯데카드의 2024년 매출액인 3조348억원을 대입했을 때 과징금만 1200억원대에 달합니다. 이번에 부과된 96억 원과 비교하면 12배가 넘는 수치입니다.
(그래픽=뉴스토마토)
징벌적 과징금으로 재발 방지 필요
롯데카드의 경우 정보유출 사고가 이번이 처음이 아닙니다. 과거 2014년 카드사 정보유출 사태 당시 KB국민·롯데·NH농협카드 등 카드 3사에서 약 1억건의 개인정보가 유출되면서 3개월 영업정지와 과태료 600만원 등의 금융당국 제재를 받았습니다.
롯데카드는 이번 개보위 과징금 말고도 금융당국의 제재심의위원회 결과에 따른 처분이 남아 있습니다. 금융권에 따르면 이번 개인정보 유출이 심각한 사안인 만큼 최대 수위인 6개월 영업정지에 무게가 실리고 있습니다. 카드업계 한 관계자는 "롯데카드 해킹은 대표가 곧바로 사임할 만큼 심각한 사안이었다"면서 "업계에서는 대부분 6개월 영업정지를 예측하고 있다"고 말했습니다.
신한카드도 지난해 19만건의 개인정보 유출이 적발돼 금융당국이 제재 수위를 검토 중입니다. 다만 업계에서는 약한 수위의 제재를 예상하고 있습니다. 금융당국이 이번 사태를 회사 차원의 단기실적주의에 따른 과당경쟁으로 인한 것인지를 따져볼 것이라고 알려졌는데요. 해킹이나 보안 시스템 문제가 아니었기 때문에 제재 수위가 높지 않을 것이란 예측입니다.
전문가들은 정보를 유출한 기업에 강한 처벌을 내려 사고 재발을 방지해야 한다고 입을 모았습니다. 황석진 동국대 국제정보보호대학원 교수는 "유출 기업에 높은 과징금을 물려 본보기를 삼아야 한다"며 "롯데카드는 이전에도 개인정보를 유출한 이력이 있고, 민감한 금융 정보까지 유출했음에도 처벌 수위가 매우 약하다"고 말했습니다.
소비자에 대한 확실한 보상 체계의 필요성도 언급했습니다. 현행 개인정보법상 손해배상액은 5배를 상한으로 두는 징벌적 손해배상을 채택하고 있습니다. 하지만 개인정보 유출의 경우 위자료가 10만원 가량으로 책정돼 최대 50만원 수준에 그칩니다. 이마저도 소송에 참여한 사람만 배상을 받을 수 있도록 돼 있어 징벌적 손해배상제가 유명무실하다는 지적입니다. 황 교수는 "징벌적 과징금뿐만 아니라 정보가 유출된 피해자에게 확실하게 배상을 할 필요가 있다"면서 "유출 사고가 발생하면 피해자들에게 위자료를 지급토록 하는 내용을 법령에 명시화 해야 한다"고 강조했습니다.
롯데카드 건물. (사진=뉴시스)
배희 기자 SheisHe@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지