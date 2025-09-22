297만명의 개인정보가 유출된 롯데카드 사태를 계기로 ‘징벌적 과징금’ 도입 논의가 급물살을 타고 있다. 실제 발생한 손해액보다 더 큰 금액의 과징금을 부과해 경각심을 높이고 금융사고 재발을 억제하겠다는 것이다. 2014년 1억건 이상의 개인정보가 유출된 ‘카드 3사 사태’ 때부터 논의되던 제도가 10여년 만에 현실화할지 주목된다.

조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. 연합뉴스

22일 금융권에 따르면 금융위원회는 롯데카드 정보유출 사태에 대한 대응책으로 징벌적 과징금 제도 도입을 추진 중이다. 보안 규정을 위반하지 않도록 금융사에 사전에 경각심을 높이는 한편 사후적으로도 ‘일벌백계’ 차원에서 일반적인 수준을 뛰어넘는 과징금을 매기겠다는 것이다. 징벌적 과징금 도입을 공식화한 금융위는 제도 도입을 위한 세부 논의에 착수한 것으로 전해졌다.



징벌적 과징금 도입 논의는 2014년 1월 카드 3사(KB국민·NH농협·롯데카드)에서 개인정보 유출 사태가 발생하며 본격화했다. 당시 카드사 분실·위변조 탐지 시스템 개발 업무를 하던 신용평가업체 직원이 테스트를 명분으로 각 카드사 개인정보를 USB 저장장치에 담아 외부에 반출했다. 유출 규모만 3사를 합쳐 약 1억400만건에 달하는 역대 최대 규모의 개인정보 유출 사건이었다.

그러나 금융당국이 카드 3사에 내린 징계는 당시 신용정보법상 상한이던 영업정지 3개월 및 과태료 600만원이 전부였다. 이 일을 계기로 개인정보보호법 등이 개정돼 △불필요한 주민번호 수집 금지 △개인정보 보관·폐기 관리 강화 △정보보호최고책임자(CISO) 권한 강화 같은 대책이 마련되기도 했다. 다만 함께 논의되던 징벌적 과징금 제도 도입은 끝내 불발됐다.

금융권에서는 최근 잇달아 금융사고가 발생해 경각심이 높아졌고 이재명 대통령도 후보 시절 징벌적 과징금을 공약으로 내세운 만큼 제도 도입이 현실화할 것이란 기대가 높다. 올해 들어 금융권에서만 SGI서울보증, 웰컴금융그룹에 이어 롯데카드까지 해킹 사고가 속출했다. SK텔레콤, KT 등 통신사에서도 유사한 사례가 이어지며 보다 강력한 대책이 나와야 한다는 목소리가 나왔다. 이 대통령도 “보안 투자를 불필요한 비용으로 간주하는 잘못된 인식이 이런 사태의 배경은 아닌가”(4일), “해킹 피해 최소화를 위한 근본적인 종합대책을 마련해 달라”(18일)고 강조했다.



대규모 유출 사고가 발생한 롯데카드에 당장 어느 정도의 과징금이 매겨질지도 관심이다. 이번 개인정보 유출 사태에 롯데카드의 과실을 어떻게 규정하느냐에 따라 적게는 50억원에서 많게는 900억원까지 부과할 수 있을 것이란 예측이 나온다. 금융위는 금융회사가 업무 목적 외로 고객의 신용정보를 누설·이용하거나 제3자에게 제공한 경우 개인정보보호법에 따라 매출액의 3%를 부과할 수 있도록 했다. 롯데카드의 지난해 매출액 3조348억원을 기준으로 하면 과징금 규모가 약 900억원에 달할 수 있는 셈이다.

하지만 이런 매출액 기준 과징금은 금융회사의 고의성을 따지기 때문에 이 경우 과징금 한도가 50억원인 신용정보법의 적용을 받을 것이라는 관측도 있다. 금융당국 관계자는 “이번 (롯데카드) 사태는 외부 해킹으로 인한 개인정보 유출이지만 고객정보 관리 차원에서는 개인정보보호법 위배 여부를 따져봐야 한다”며 “현 제도에서의 과징금이 충분한 수준으로 부과되지 않는다는 판단하에 당국에서 징벌적 과징금 도입을 추진하는 것”이라고 설명했다.



금융당국은 징벌적 과징금 외에도 금융회사가 정부의 보안 수준 개선 요구를 제대로 이행하지 않은 경우 지속적인 이행강제금을 부과하고, CISO가 주도적으로 보안 강화를 할 수 있도록 하는 권한 강화 등을 종합적으로 마련할 계획이다.

