롯데카드 '초강력 제재' 부과되나…금감원, 정기검사 착수

[뉴스웍스=손일영 기자] 금융당국이 롯데카드 정보 보안 사고에 대한 조사를 확대한다. 앞서 이찬진 금융감독원장이 법령 위반 사실 확인 시 엄정한 책임을 물을 것이라 공언한 만큼 롯데카드에 대한 강도 높은 제재가 부과될 것이라는 전망이다.

10일 관련 업계에 따르면 금감원이 롯데카드에 대한 정기검사에 착수한다. 이번 정기검사는 지난 9월부터 두달여간 이어진 해킹 사고 사후 조사와 달리, 경영관리 실태 전반을 살펴볼 방침이다.

롯데카드는 지난 2022년 6월에도 한달여간 금감원으로부터 정기 검사를 받은 바 있었다. 당시 정기검사에서는 정보 보안 관련 문제에 대한 지적은 없었던 것으로 알려졌다.

금감원 관계자는 "롯데카드에 대한 정기검사가 진행되면 중소금융검사3국이 주관하고 IT검사국이 필요 시 지원하는 형태로 경영 관리 전반과 IT 및 정보보호 운영 실태를 점검할 예정"이라고 밝혔다.

금감원과 금융보안원 현장조사에 따르면, 롯데카드는 2017년 서버 보안 강화 과정에서 전체 서버 내 설치된 48개의 웹로직(Weblogic) 프로그램 중 1개의 보안패치를 누락한 것으로 파악됐다. 이에 해커가 누락된 패치를 통해 파고들어 악성코드 감염으로 200GB 규모의 고객 데이터가 유출됐다.

유출된 297만명의 고객 정보는 일반 거래 정보·카드번호·CVC·주민등록번호 등으로 나타났다. 해당 정보들이 결합돼 '신용정보'로 유출됐다고 판단되면, '신용정보보호법(신정법)' 또는 '전자금융거래법(전금법)' 규제에 따라 최대 50억원의 과징금이 부과될 수 있다.

신용정보보호법 제42조에 따르면 금융위는 상거래 기업이나 법인이 개인정보를 분실 및 도난당하면 전체 매출액 3% 이하에 해당하는 금액의 과징금을 부과할 수 있다. 다만 롯데카드의 사례처럼 제3자의 불법적인 접근에 해당하는 행위가 사고의 원인으로 규정될 시에는 과징금 한도는 50억원으로 제한된다.

롯데카드가 카드사인 점을 고려하면 전반적인 유출 사고에 대해 여신전문금융법(여전법)이 적용될 가능성도 점쳐진다. 여전법상 개인정보 유출 등으로 최대 영업정지 6개월의 제재가 가능하다.

신용정보 외에 이름과 주민등록번호 등 '개인정보'가 단독으로 유출돼 개인정보보호법까지 적용된다면 과징금 액수는 더 높아진다. 앞서 개인정보보호위원회는 금감원으로부터 받은 롯데카드 개인 신용정보 유출 신고를 바탕으로 진상 조사에 착수한 바 있다.

개보법 64조 2항에 따르면 개인정보 처리자(기업)가 개인정보를 분실 및 도난 또는 유출 당한 경우, 해당 기업에 매출의 3% 이하 수준의 과징금이 부과될 수 있다. 롯데카드의 지난해 매출액이 2조7000억원임을 고려하면 개보법 적용 시 최대 과징금은 810억원으로 추산된다.

우리카드 역시 지난 3월 개보위로부터 신규 카드 발급 과정에서 가맹점주의 동의 없이 개인정보를 사용한 사실이 적발돼 134억5100만원의 과징금을 부과받은 바 있다. 이는 금융당국이 전금법과 신정법상 부과할 수 있는 제재를 상회하는 수준이다.

한편, 롯데카드는 이사회를 통해 정보보호 및 개인 고객 지원 조직 권한을 확대하고 인사 개편을 단행하는 등 인적·조직적 쇄신에 박차를 가하는 모습이다.

롯데카드 관계자는 "전사적 조직개편과 정기 임원인사를 통해 업무 효율성과 정보보호 역량을 강화할 것"이라며 "이번 사이버 침해 사고로 인한 부정사용 시도나 실제 소비자 피해는 현재까지 발견되지 않았지만, 피해가 발생할 경우 롯데카드가 책임지고 피해액 전액을 보상하겠다"고 밝혔다.