[뉴스토마토 신수정 기자] 카드업권에서 잇따른 정보 유출 사고를 계기로 감독 체계에 대한 부담이 한층 커지고 있습니다. 정보 유출에 대한 감독 이원화 구조는 예전부터 존재했지만, 대형 사고가 반복된 최근 몇 년 사이 정보보호 관련 부담 체감이 과거보다 한층 높아졌다는 분석입니다. 특히 개인정보보호위원회의 통합·강화된 감독 권한까지 더해지면서 금융사 입장에서는 정보 유출 사고 발생 시 금융감독원과 개보위로부터 각각 제재를 받을 가능성이 커졌습니다.
23일 금융권에 따르면 앞서 개보위 제재를 받은 우리카드와 롯데카드에 이어 신한카드까지 제재 대상에 오를 가능성이 제기됩니다. 대형 카드사를 중심으로 정보 유출 사고가 잇따르면서 관련 조사와 징계가 업권 전반으로 확산하는 양상입니다.
앞서 롯데카드는 지난해 해킹으로 인해 297만명의 개인정보 유출 사고가 발생해 개보위로부터 과징금 96억2000만원과 과태료 480만원을 부과받았습니다. 우리카드 역시 2024년 인천영업센터에서 가맹점 대표자 약 7만5000명의 개인정보가 카드모집인에게 넘어가 마케팅에 활용된 사실이 드러나면서 개보위로부터 과징금 134억5100만원의 중징계를 받았습니다.
신한카드도 조사 선상에 올라 있습니다. 지난 2022년 3월부터 2024년 5월까지 가맹점주 휴대전화번호와 사업자번호 등 약 19만2000건의 개인정보가 유출된 사실이 확인돼 개보위의 조사가 진행 중에 있으며, 제재 가능성을 열어두고 검사 결과를 검토 중인 것으로 확인됐습니다.
이와 별도로 금감원도 동일 사건을 대상으로 검사에 착수하며 제재 절차를 진행 중입니다. 롯데카드는 금감원이 영업정지 4.5개월과 과징금 50억원, 전 대표에 대한 인적 제재 등을 포함한 조치를 사전 통지한 것으로 알려졌습니다. 신한카드 역시 금감원 검사가 최근 마무리돼 결과 정리가 진행 중인 것으로 전해졌습니다.
이처럼 정보 유출 감독은 개인정보와 신용정보로 나뉘어 각각 다른 법체계 아래 이뤄지고 있는데요. 금감원은 신용정보 관련 내부통제와 관리 책임을 중심으로 검사하고, 개보위는 개인정보보호법 위반 여부를 기준으로 별도의 조사와 제재를 진행합니다.
이러한 감독 이원화 구조는 과거부터 이어져왔지만, 업계에서는 최근 들어 제재 강도와 범위가 확대되며 체감 부담이 크게 커졌다는 견해가 지배적입니다. 결과적으로 금융사 입장에서는 단 한 번의 정보 유출 사고로도 두 기관으로부터 동시에 제재를 받을 가능성이 높아졌기 때문입니다. 과징금과 행정제재가 중첩될 수 있는 구조가 형성되면서 정보보호 리스크가 경영 전반의 핵심 부담으로 부상하고 있다는 분석이 뒤따릅니다.
금융권 관계자는 "통상 정보 유출 사고가 발생하면 금융사는 금융감독원과 금융위원회 조사에 더해 개인정보보호위원회의 점검까지 받게 된다"며 "금융사는 일반 개인정보뿐 아니라 신용정보까지 함께 보유하고 있어 사고 발생 시 적용 법령이 겹치고, 그에 따른 이중 제재 부담을 고려할 수밖에 없는 구조"라고 말했습니다. 그는 "과징금과 행정제재가 각각 부과될 수 있어 기업 입장에서는 사실상 리스크가 배로 커진 셈"이라고 덧붙였습니다.
(왼쪽부터) 우리카드, 신한카드, 롯데카드 사옥. (사진=각 사, 챗GPT 합성)
신수정 기자 newcrystal@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지