정확히 얘기하면 사안이 달라졌다기보다는 사회적 여론에 부담을 느껴 과거 사례에서 적용한 관점을 폐기한 결과다. 불과 2년 전만 하더라도 제재심 위원들의 개인신용정보 유출과 관련한 사회적 폐해에 상당히 둔감했다는 사실도 보여준다.
2012년 7월 19일 열린 제12차 제재심으로 돌아가 보자. 이날 삼성카드와 하나SK카드의 고객정보 유출 사고를 다뤘다. 제재심은 크게 세 가지 측면에서 문제를 제기하고 있다. 첫 번째가 ‘정보가 유출됐다는 결과 책임만을 물어 제재하는 것은 타당하지 않다’는 점이다. ‘정보 유출 건수 등 결과보다는 회사의 내부통제 감독 소홀의 경중을 따져 구체적으로 제재를 결정해야 한다’는 원칙을 제시했다.
그러면서 ‘회사가 정보유출 사실을 인지하고 즉시 수사기관과 감독기관에 고발한 점을 들어 회사의 중대한 내부통제 또는 감독소홀에 기인한 것은 아니다’라는 입장을 정했다. 제재심은 여기서 한발 더 나아갔다. ‘회사가 사고를 은폐하지 않고 사후 수습을 위해 적극적으로 노력한 점을 고려하지 않고 제재 수준을 결정하면, 앞으로 정보유출 사고 발생 시 회사가 사고를 은폐할 부작용도 있다’는 발언도 의사록에 실었다.
한마디로 개인정보 유출이라는 큰 사안을 회사가 은폐할 우려가 있어 사후 수습 과정에서의 노력을 제재 수위에 반영해 낮춰야 긍정적인 효과가 있다는 얘기다. 물론 그런 효과를 완전히 부정할 수는 없다. 그러나 결과적으로 고객정보 유출이라는 국민의 직접적인 불안을 일으키는 사안에 제재 수위를 낮추는 명분이 될 수 있는지는 고개를 갸우뚱할 수 있는 대목이다.
지난 2월 14일 열린 KB국민카드, 롯데카드, 농협카드의 개인정보유출 건도 다시 보자. 공개하는 제재심의 의사록은 녹취록이 아니어서 이날의 분위기를 속속들이 알기는 어렵다. 다만, 의사록만 보더라도 2012년 심의과정과는 많이 다르다는 것을 알 수 있다. 이날 심의에서도 통상적인 절차대로 제재심 위원들은 각 회사에 몇 가지를 질문하고 진술을 받았다.
이후 금감원에 종전 사례와 비교해 기관 제재를 더 엄중하게 하고자 하는 이유를 묻는다. 금감원은 ‘종전 제재 대상보다 정보유출 건수 등에서 상당한 규모의 차이가 있다는 점과 사회적 물의를 일으킨 점 등을 고려했다’고 답변한다.
이에 한 위원이 ‘과실의 정도, 피해 고객 수 및 사회적 물의를 일으킨 점 등을 고려해 제재할 필요가 있다’는 의견을 내고, 제재심은 ‘카드회원 등의 정보보호 소홀에 의한 대량 정보유출사고 발생과 관련해 원안과 같이 조치한다는 의견이 모아졌다’고 기술했다.
삼성•하나SK카드 건 때와는 달리 ‘결과 책임’과 ‘사회적 물의’라는 여론 부담이 양형의 가장 큰 요인으로 작용했다는 사실을 보여준다. 실제로 삼성•하나SK카드 등 두 카드사의 정보 유출량은 약 100만 건이었다. KB•롯데•농협카드에선 약 1억 건이 유출됐다. 100배다. 큰 차이인 것은 분명하다. 다만, 2012년 제재심은 유출 양 등 결과만으로 책임을 묻는 것은 타당하지 않다는 제재 원칙을 정했었다.
나아가 이전과 달리 3개 카드사에서 벌인 수습 노력은 인정받지 못했다. 각 회사의 수습 노력에 대한 논의가 있었는지조차 알 길이 없다. 삼성•하나SK카드는 제재 수위 중에서 가장 낮은 ‘기관주의’ 제재를 받았고, KB•롯데•농협카드는 사실상 가장 높은 ‘3개월 영업정지’를 당했다. 때를 잘못 만난 결과다.