지난 1월에 쓴 칼럼의 일부다.
최근 금융당국은 롯데카드의 외부해킹에 따른 개인정보 유출에 대해 과징금과 함께 4.5개월 영업정지의 중징계를 예고했다. 과거 정보유출로 영업정지를 받은 적이 있어 가중처벌이 내려진 것으로 분석된다. 앞서 개인정보보호위원회는 지난달 96억원의 과징금과 과태료 480만원을 확정한 바 있다.
금융권에서는 '이례적으로 강한' 징계라는 평가가 나온다. 금융사가 내부 직원의 정보유출로 영업정지를 받은 적이 없기 때문이다. 해킹으로 부정인출 사고가 발생했던 청호이지캐시도 '기관경고'에 그쳤었다. 현행 신용정보법과 전자금융거래법 체계에서도 외부해킹은 내부 임직원에 의한 정보유출보다 낮은 수준으로 제재하고 있다.
영업정지가 내려지면 카드사는 신규회원을 모집할 수 없고, 한도 증액이나 카드론 등이 제약을 받을 수 있다. 카드사가 입는 타격이 클 수밖에 없다. 실제 롯데카드는 2014년 영업정지(3개월) 당시 80만명가량의 회원이 이탈한 것으로 전해진다. 지난해 9월 정보유출 이후 8개월 동안 롯데카드는 회원 이탈 등 이미 영업정지에 버금가는 고통을 겪고 있다. 실제 영업정지가 더해질 경우 신용도와 자금조달까지 전방위적 압력을 받을 것으로 우려된다. 카드사는 예·적금과 같은 수신 기능이 없어 통상 여전채를 발행해 자금을 마련한다. 가뜩이나 시중금리 상승으로 힘든 상황에서 제재까지 겹치면 자칫 '돈맥경화'에 걸릴 수 있다.
금융사는 아니지만 결혼중개업체 듀오의 경우 직원 컴퓨터가 해킹당하면서 회원 약 43만명의 민감한 개인정보가 빠져나갔다. 처벌은 개보위로부터 받은 과징금 12억원, 과태료 1300만원이 전부다. 1인당 2800원 수준이다. 이름과 연락처는 물론 키, 몸무게, 종교, 혼인경력, 학력 등 아주 민감한 내용들이 포함됐다.
의도적인 정보유출이 아니라 외부해킹에 대한 중징계는 되레 비효율적이라는 지적도 있다. 자진신고에 대한 유인을 줄여 기업의 소극적인 대응을 유도하고, 보안 생태계를 위협할 수 있다는 것이다. 한국정보보호산업협회의 2025년 정보보호 실태조사에 따르면 정보침해 사고를 경험한 기업 4곳 가운데 3곳이 외부 침입 사례였다. 침해 사고 신고율은 30%를 겨우 넘었고, 사고 이후 '별다른 대응을 하지 않았다'는 답이 40%를 웃돌았다.
최근 앤스로픽의 신규 인공지능(AI) 모델 '클로드 미토스'에서 시작된 해킹 리스크가 점차 확대되고 있다. 단 13분 만에 기업의 비밀을 통째로 훔쳐가면서 '사이버 세상의 핵무기'라는 평가를 받는다. 사실 외부해킹을 100% 막아낸다는 것은 현실적으로 어렵다.
금융사에는 신뢰가 생명줄이나 마찬가지다. 따라서 해킹 사고에 대한 처벌과 제재는 당연하다. 하지만 그간 금융사들의 정보보호예산은 공시 의무가 아닌, 자율공시 대상이었다. 금융사들의 정보보호예산과 인력 등이 감독 '사각지대'에 있었다는 의미다. 대형 해킹 사고가 반복되면서 정보보호 공시를 도입하기로 했다. 금융당국도 해킹 사고의 관리감독에 소홀한 점은 없었는지 되짚어봐야 한다. 최근 논의한 '사전예방적 디지털 리스크 감독방안'에 맞춰 고위험사가 정보보호예산을 고무줄로 편성하지는 않는지, 우수한 보안인력을 유치하기 위해 투자하는지, 보완 관리에 허점은 없는지 등을 집중 관리하는 것이 사고 재발을 막는 데 더 실효성이 높을 것으로 보인다.
blue73@fnnews.com
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지