롯데카드 제재 수위 두고 엇갈리는 시각

[시사저널e=김태영 기자] 조좌진 롯데카드 사장이 사임을 발표한 가운데 롯데카드 해킹 사고에 대한 금융당국의 조사와 제재 수위를 두고 시각이 엇갈리고 있다.

이찬진 금융감독원장이 법령 위반 사실 확인 시 엄정한 책임을 물을 것이라고 공언한 만큼 강도 높은 제재가 부과될 것이라는 전망이 나오지만, 유출된 정보는 페이먼트(결제) 관련 정보로서 처벌 수위가 가장 강력한 개인정보보호법 적용이 쉽지 않을 것이라는 관측도 나온다.

21일 업계에 따르면 이날 롯데카드는 임시 이사회를 열고 차기 대표 선임을 위한 임원후보추천위원회 구성 방안을 논의한다. 조 사장이 사의를 표명한 데 따른 후속 조치로 풀이된다. 앞서 조 사장은 지난 13일 사내 게시판을 통해 직원들에게 오는 12월 1일 사임 의사를 알린 바 있다.

신임 대표 선정을 위해 롯데카드 임원후보추천위원회는 대주주 MBK파트너스의 김광일 부회장과 이진하 부사장을 비롯해 김원재 롯데쇼핑 최고재무책임자(CFO)와 사외이사 4명으로 구성될 예정이다. 롯데카드는 최근 사외이사 5명 중 임원후보추천위원회 소속의 사외이사 3명을 교체하며 CEO 교체를 위한 사전 작업에 착수한 것으로 전해졌다.

사고 수습이 본 궤도에 오른 만큼 업계는 롯데카드 해킹사고에 대한 금융당국의 제재 수위에 주목하고 있다. 롯데카드 정보보안 사고는 크게 ▲신용정보보호법(신정법) ▲전자금융거래법(전금법) ▲여신전문금융법(여전법) ▲개인정보보호법(개보법) 등 4개 법률에 따라 제재 수준이 결정될 수 있다.

업계 안팎에서는 제재 수위를 두고 전망이 엇갈리고 있다. 유출된 297만명의 고객 정보는 일반 거래 정보·카드번호·CVC·주민등록번호 등으로 나타났다. 신용정보보호법 제42조에 따르면 금융위원회는 상거래 기업이나 법인이 개인정보를 분실 및 도난당하면 전체 매출액 3% 이하에 해당하는 금액의 과징금을 부과할 수 있다.

롯데카드가 카드사인 점을 고려하면 전반적인 유출 사고에 대해 여신전문금융법이 적용될 가능성도 제기된다. 여신전문금융법상 개인정보 유출 등으로 최대 영업정지 6개월의 제재가 가능하다.

신용정보 외에 이름과 주민등록번호 등 개인정보가 단독으로 유출돼 개인정보보호법까지 적용된다면 과징금 액수는 더 높아진다. 개인정보보호법 64조 2항에 따르면 개인정보 처리자(기업)가 개인정보를 분실 및 도난 또는 유출 당한 경우 해당 기업에 매출의 3% 이하 수준의 과징금이 부과될 수 있다. 롯데카드의 지난해 매출액이 2조7000억원임을 고려하면 개인정보보호법 적용 시 최대 과징금은 810억원으로 추산된다.

앞서 이찬진 금융감독원장은 롯데카드 해킹 사고와 관련해 비상대응체계를 가동하고 관리소홀로 인한 금융보안 사고에 대해 엄정 제재 방침을 밝혔다.

금융당국 현장조사에 따르면 롯데카드는 2017년 서버 보안 강화 과정에서 전체 서버 내 설치된 48개의 웹로직(Weblogic) 프로그램 중 1개의 보안패치를 누락한 것으로 파악됐다. 이에 해커가 누락된 패치를 통해 파고들어 악성코드 감염으로 200GB 규모의 고객 데이터가 유출됐다.

현재 금융감독원은 롯데카드에 대해 정기검사에 착수한 상태다. 정기검사에서는 경영관리 실태 전반을 살펴볼 방침이다.

하지만 일각에서는 징계 수위를 두고 중징계 수준까지 가지 않을 것이라는 예상도 나온다. 이번 해킹사고로 고객 주민등록번호와 주소 등 개인정보가 단독으로 유출된 것이 아니라, 개인신용거래 목적으로 취합된 정보가 유출됐다는 설명이다. 롯데카드 해킹 사고로 유출된 정보는 페이먼트(결제) 관련 정보로 개인정보를 분실 및 도난한 경우에 해당되지 않아 개인정보보호법 적용이 쉽지는 않을 것이라는 설명이다.

물론 신용정보보호법 위반에 따른 제재가 확정된 경우에도 전체 매출액 3% 이하에 해당하는 과장금을 부과할 수 있다. 하지만 롯데카드의 사례처럼 제3자의 불법적인 접근에 해당하는 행위가 사고의 원인으로 규정될 시에는 과징금 한도는 50억원으로 제한된다.

업계 관계자는 "금융당국이 풀어나가야 할 소비자 보호 조치들이 많은 만큼 우선순위에 맞게 롯데카드 해킹 사고 관련 조치도 이뤄질 것으로 본다"고 전망했다.