“기준선 지키면 제재 줄이는 ‘세이프 하버’ 도입해야 정보보호 향상”

정부가 최근 대규모 개인정보 유출 사고를 낸 쿠팡을 겨냥해 징벌적 과징금 제도 손질에 나선 가운데 금융회사 해킹사고에 대한 과징금 상향도 추진하고 있다. 올해 SGI서울보증을 시작으로 롯데카드, 업비트 등에서 잇따라 해킹 사태가 발생한 금융권은 잔뜩 긴장하고 있다. 하지만 금융권 일각에선 ‘징벌 만능주의’에서 벗어나 일정 기준선을 지킬 경우 제재 경감을 해주는 ‘세이프 하버’ 제도를 가미해야 정보보호 수준의 전반적인 향상을 꾀할 수 있다는 주장도 내놓고 있다.

15일 금융당국과 정치권에 따르면 유동수 더불어민주당 의원은 지난달 말 해킹사고로 인한 전자금융거래정보 또는 개인신용정보 유출에 대해 매출액의 3%를 과징금으로 부과하는 내용의 전자금융거래법 개정안을 대표발의했다. 개정안에는 대표이사를 전자금융거래 이용자 보호 최종 책임자로 명시하고 정보보호공시제도를 마련하는 방안도 포함됐다.

금융사 해킹사고가 연쇄적으로 발생하면서 과징금 제도 정비 필요성은 제기된 바 있다. 하지만 기관 조치까지 고려하면 제재 수위가 낮지 않다. 금융회사를 규율하는 신용정보법상 해킹사고로 인한 고객 신용정보 유출 시 최대 6개월 영업정지와 임원 해임권고가 가능하기 때문이다.

이재명 대통령이 최근 개인정보 유출사고에 대한 과징금 제도의 즉시 수정을 요청한 데다 이찬진 금융감독원장도 “보안이 뚫리면 회사가 망할 수 있다는 인식이 없다”며 엄정 제재 방침을 밝힌 만큼, 금융사에 대한 과징금 제도는 연내에 개정될 수 있다.

금융사들은 보안부문 투자 확대에 나설 방침이지만, 해킹 기술이 나날이 진화하는 상황에서 제재만으로 정보보호를 강화한다는 발상은 처벌 만능주의라는 비판이 제기된다. 한국인터넷진흥원(KISA) 공시에 따르면, 지난해 주요 은행의 정보보호부문 투자액은 KB국민은행 425억 원, 신한은행 370억 원, 우리은행 444억 원으로 수백억 원대에 달했다. 업비트는 지난 2019년부터 올해 11월까지 보안컨설팅과 해킹 관련 외주계약에 약 200억 원을 투입했지만 출금 사고를 막지 못했다. 정태영 현대카드 부회장은 롯데카드 해킹 사태 당시 “예산을 10억 원, 100억 원 더 준다고 해서 보안사고 방지가 가능하다면 쉬운 게임일 것”이라고 꼬집었다.

최경진 가천대 법과대학 교수는 “선제적으로 보안투자를 한 기업에 대해서도 단지 사고가 발생했다는 이유만으로 징벌적 과징금을 물리는 것은 오히려 기업의 정보보호 강화 의지를 꺾을 수 있다”며 “투자 여력이 되지 않는 중소형사의 경우 정보보호 강화를 포기할 수도 있다”고 말했다. 최 교수는 “징벌적 과징금을 도입하되 ‘세이프 하버’ 방식으로 제도를 설계해 인센티브도 주는 게 바람직하다”고 덧붙였다.

김지현 기자