해킹으로 인한 개인신용정보 유출 시 과징금을 최대 50억원까지만 부과하도록 한 신용정보법(신정법) 단서조항이 실효성이 떨어진다는 지적이 제기됐다.
대형 금융사의 경우 매출 규모에 비해 제재 수위가 지나치게 낮아 사실상 '면죄부'로 작용할 수 있다는 비판이 나오면서 과징금 한도 규정을 삭제하는 신정법 개정안도 발의된 상태다. 롯데카드 해킹 사고로 개정안이 소관위(정무위)를 통과해 급물살을 탈 수 있을지 주목된다. ▷관련기사: 롯데카드 정보유출 과징금 '50억이냐 800억이냐'…개보위 조사 관건(9월22일).
신정법 과징금 50억원…"실효성 낮아" 지적
강민국 국민의힘 의원은 23일 국회 정무위원회 소속 국민의힘들이 의원 주재한 '롯데카드 개인정보 유출사태 피해자 보호 방안 및 재발 방지대책 간담회'에서 "금융사 해킹 관련 현재 신용정보법상 과징금 최대 상한액이 50억원"이라며 "이 단서조항을 삭제할 필요가 있다"고 말했다.
현행 신정법 제42조의2에 따르면 금융위원회는 상거래기업이나 법인이 개인신용정보를 분실·도난·누출·변조·훼손한 경우 전체 매출액의 3% 이하 금액을 과징금으로 부과할 수 있다. 하지만 해킹 등 제3자의 불법적 접근으로 인한 유출은 50억원 상한이 적용된다.
이번 롯데카드 해킹 사고처럼 대규모 정보 유출이 발생해도 과징금은 최대 50억원에 그칠 수 있다는 점이 문제로 지적되는 이유다.
이와 관련 지난 7월 민형배 더불어민주당 의원이 대표 발의한 신정법 개정안도 이 단서조항을 삭제하는 내용이 담겼다. 해당 개정안은 현재 소관위 심사 중이다.
민 의원은 개정안 제안 이유에서 "과징금 상한이 '전체 매출액의 100분의 3 이하'로 정해져 있음에도 불구하고 단서 조항으로 개인신용정보 유출 등 부과 최대한도가 50억원으로 제한돼 있다"며 "매출규모가 큰 신용정보회사에는 실질적 제재수단으로 작용하지 못한다는 지적이 있다"고 밝혔다.
이어 "유럽의 경우 2000만유로(약 270억원)와 연간 총 매출액의 4% 중 더 큰 금액을 과징금으로 부과토록 하고 있다"며 "이는 사전규제보다 사후 처벌을 강화해 기업의 실질적인 보안 개선을 유도하고자 하는 취지"라고 부연했다.
신정법 우선 적용…개보위 조사 결과 '촉각'
개인정보보호법(개보법) 적용도 쟁점이다. 개보법은 일반법, 신정법은 개보법에 대한 특별법이다. 일반법은 특정 분야를 가리지 않고 전체 영역의 기본 원칙을 정한 것으로 개보법의 경우 모든 개인정보 처리에 적용된다고 볼 수 있다.
특별법은 특정 분야나 대상에 한정해 더 구체적으로 규율하는 법이다. 신정법은 개인신용정보와 신용정보업이라는 좁고 특수한 영역을 다룬다.
일반법과 특별법이 충돌할 경우 특별법 우선 적용 원칙이 적용된다. 이에 따라 신용정보 제공·조회 절차 등에 대해서는 개보법이 아니라 신정법이 우선 적용된다. 다만 신정법이 규정하지 않은 사항은 개보법이 적용된다.
이번 해킹 사고에서는 주민등록번호와 카드 거래정보 등이 함께 유출된 사례가 대부분이다. 이렇게 되면 신정법이 적용돼 상한 50억원 규정에 걸린다. 다만 주민번호 등 개인정보만 단독 유출된 사례가 발견되면 개보법 적용이 가능하다.
남석 개인정보보호위원회 조사조정국장은 "금감원에서 알려온대로 롯데카드에서 상당한 정보유출이 있었고 주민등록번호만 별도로 유출됐다는 일부 보도도 있어 정식 조사에 착수했다"며 "사각지대 없이 조사하고 재발 방지에 만전을 기할 수 있도록 할 것"이라고 말했다.
