롯데카드 대규모 해킹 사고와 관련한 금융당국의 제재에도 관심이 쏠리고 있다. 금융감독원이 현재 사고 경위와 내부 통제 미비 여부를 조사 중인 가운데 내부적으로는 내달 제재심의위원회 상정을 목표로 관련 검토작업을 서두르고 있는 것으로 전해진다.
특히 이번 제재는 과징금을 넘어 영업정지 등 초강력 행정처분 가능성까지 열려 있어 제재 수위에 업계의 시선이 집중되고 있다.
앞서 개인정보보호위원회는 제4회 전체회의에서 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억2000만원과 과태료 480만원을 부과하고 시정명령 및 공표명령을 의결했다.
이는 유출된 297만명의 정보 가운데 주민등록번호 등 '개인정보' 유출 45만명에 대한 법규 위반을 중점적으로 다룬 결과다. 금융당국은 나머지 250만명을 포함한 '개인신용정보' 유출 사고 전반에 대한 관리 감독 책임을 물을 예정이다.
특히 롯데카드는 온라인 결제 과정에서 생성되는 로그에 주민등록번호를 포함한 다수의 개인정보를 평문(암호화되지 않은 원래 정보) 형태로 기록해 저장한 것으로 확인됐다. 로그 파일에 대한 암호화 조치도 충분히 이뤄지지 않은 것으로 드러났다. ▷관련기사: 개보위, 롯데카드 해킹 과징금 96억원…"주민번호 처리 등 위반"(3월12일).
과징금 넘어 영업정지 '칼날'
업계에서는 금융당국이 이번 사고에 대해 여신전문금융업법(여전법)을 어떻게 적용할지에 촉각을 곤두세우고 있다.
여전법에서는 신용카드사의 신용정보 보호 및 관리 조치 의무를 명시하고 있으며 이를 위반할 경우 금융당국은 최대 6개월 이내의 영업 전부 또는 일부 정지를 명할 수 있다. 카드사 입장에서는 수익에 직격탄을 맞는 가장 치명적인 카드다.
여전법 외에도 전자금융거래법(전금법)과 신용정보법(신정법) 등 관련 법률 적용 여부도 관심사다.
전금법에 따르면 금융사는 전자금융거래가 안전하게 처리될 수 있도록 필요한 보안 조치를 마련해야 한다. 이를 위반해 전자금융거래정보를 타인에게 제공하거나 누설하거나 업무상 목적 외로 사용한 경우 50억원 이하의 과징금을 부과할 수 있으며, 최대 6개월 범위 내에서 관련 업무의 전부 또는 일부 정지도 명할 수 있다.
유출된 정보가 개인신용정보라는 점에서는 신정법 적용 가능성도 제기된다. 이 법 제42조의2에 따르면 기업이 개인정보를 분실·도난·누출·변조·훼손한 경우 전체 매출액의 3% 이하 범위에서 과징금을 부과할 수 있다. 다만 롯데카드 사례처럼 해킹 등 제3자의 불법적인 접근이 원인일 경우 과징금 한도는 50억원으로 제한된다. ▷관련기사: 롯데카드 정보유출 과징금 '50억이냐 800억이냐'…개보위 조사 관건(2025년 9월22일).
금감원 관계자는 "여러 법률 적용 여부를 종합적으로 검토하고 있다"며 "과징금 규모 등 최종 제재 수준은 금감원 조사 이후 금융위가 결정한다"고 설명했다.
4월 제재심 목표…"최대한 신속히 조사"
개보위 제재와 별개로 금융당국도 제재 절차에 착수할 전망이다. 금융감독원은 관련 조사를 진행 중이며 조사 결과를 토대로 제재심의위원회 상정을 준비하고 있다.
내부적으로는 4월 상정을 목표로 검토하는 것으로 전해진다. 조사 진행 상황과 법리 검토에 따라 일정이 변동될 가능성도 있어 구체적인 시점은 유동적인 상황이다. 최종 제재 수위는 제재심을 거쳐 금융위원회가 결정한다.
금감원 관계자는 "최대한 신속하게 조사해 제재심에 올릴 예정"이라면서도 "조사 상황에 따라 일정이 변동될 수 있어 확정적으로 말하기는 조심스럽다"고 말했다.
