롯데카드, 해킹사고 제재 수위 '촉각'...해외는 과징금만 1000억원대 '훌쩍'

| 한스경제=이나라 기자 | 국내 카드업계로는 사상 최대 규모인 297만명의 고객정보가 유출된 롯데카드 해킹사태가 과징금과 보상 규모로 인해 최근 초미의 관심사로 떠오르고 있다. 

카드번호·CVC 등 28만 명의 민감정보까지 포함된 이번 사고는 국내 법 체계상 수백억 원대 제재가 예상되지만 유럽연합(EU) GDPR이나 미국식 제재를 적용했다면 1000억원 이상으로 불어날 수 있다는 분석이 나온다.

◆ 금융당국, 롯데카드 제재 본격화...매출 3% 과징금 가능할까

24일 카드업계에 따르면, 롯데카드는 지난 18일 해킹사고와 관련한 기자회견을 열고 "외부 공격으로 유출된 고객 정보는 총 297만명이며, 이 가운데 부정 사용 가능성이 있는 민감 정보(카드번호·유효기간·생년월일·비밀번호·CVC·전화번호 등)가 포함된 피해 회원은 28만명이다"고 밝혔다.

이에 대해 금융당국은 이번 해킹사고를 중대한 보안 관리 실패로 인식하고 있으며 이를 계기로 전체 카드사 보안 실태에 대한 금감원 점검을 실시하는 한편, 위규사항 발견 시 즉시 보완 및 제재 조치를 진행한다는 입장이다. 

또한 '일벌백계' 차원에서 중대한 보안사고 발생 시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하는 부분도 추진할 계획이다. 이에 개인정보보호위원회는 지난 22일 이를 위한 본격 조사에 착수한 상태다. 

금융위원회(금융위)의 권대영 부위원장은 "금융회사는 소비자 보호와 금융 신뢰성을 지키기 위한 '보안'을 가장 기본적이고 핵심적인 책무로 인식해야 한다"면서, "CEO 책임 하에 전산 시스템과 정보보호체계 전반을 전면 재점검해달라"고 당부했다. 

다만 업계 안팎에선 이번 사태는 개인정보보호법 적용 여부가 제재 수위를 가르는 핵심 변수가 될 것으로 보고 있다. 이 경우 국내 제재 체계상 과징금은 240억원에서 최대 800억원까지 가능하다는 전망이 나온다.

한국기업평가는 보고서를 통해 "지난 4월 SKT 정보유출 사태에 대해 매출액의 1%인 1348억 원의 과징금이 부과된 바 있다"면서, "동일비율 적용 시 동사에 부과되는 과징금은 약 270억원(2024년 영업수익 2.7조원) 수준이다"고 지적했다.

이와 관련해 한 카드업계 관계자는 "개인정보보호법상 과징금 부과 상한이 매출의 3%라는 점을 고려하면, 최대 810억 원의 과징금이 나오지만 과거 사례를 보면 그럴 가능성은 거의 없다고 본다"고 말했다.

◆ 신용정보법 적용 시 과징금 '50억원' 이내...보상 차등지급 논란도

그러나 이번 사례가 개인정보보호법이 아닌 신용정보법이 적용될 경우에 과징금 규모는 더욱 작아진다. 신용정보법 제42조의2 제1항에 따르면, 금융위원회는 상거래 기업이나 법인이 개인정보를 분실·도난·누출·변조·훼손한 경우 전체 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 그러나 제3자의 불법적인 접근에 해당하는 행위일 경우에는 과징금 한도가 50억원으로 제한된다.

이에 대해 한국기업평가는 보고서를 통해 "신용정보법 제42조의 2에 따라 과징금이 50억원 이하로 제한 적용될 수 있는지에 대해서는 모니터링이 필요하다"고 지적했다.

아울러 국내 제재 수준이 너무 낮다는 지적과 함께, 피해자 보상 체계 역시 충분치 않다는 평가가 뒤따른다. 롯데카드는 부정거래 발생 시 전액 보상이나 카드알림·무이자 할부 서비스 제공, 민감정보 유출 회원 대상 재발급 및 차년도 연회비 면제를 내놨다. 그러나 연회비 면제의 경우 민감정보 유출로 카드 재발급이 필요한 28만명에 대해서만 적용되는 등 피해 보상에 대한 차등 지급 논란이 지속되고 있다.

이 같은 대책은 금융소비자 보호라는 측면에서 보면 여전히 상징적 수준에 머문다는 지적이다. 이는 지난 2016년 인터파크 개인정보 유출 사건에서 법원이 인정한 위자료가 1인당 10만원, 전체 배상액이 2억4000만원에 그친 전례가 대표적이다.

이 관계자는 "롯데카드 해킹사고와 관련해 5000명 수준의 피해자들이 소송을 준비하고 있는 것으로 알고 있다"면서, "그러나 실질 보상 규모는 몇 만원 수준에 불과할 가능성이 크다"고 말했다.

◆ 해외 사례는 '징벌적 제재'...전문가 "한국형 GDPR 필요"

반면 해외 규제 체계를 기준으로 보면 제재 수준은 훨씬 강력하다. 유럽의 경우는 EU의 GDPR(General Data Protection Regulation, 일반개인정보보호법)은 위반 시 벌금을 최대 2000만 유로(약 290억원) 또는 전 세계 매출액의 4% 중 큰 금액으로 부과할 수 있도록 하고 있다. 

실제로 아일랜드 개인정보보호위원회(DPC)는 지난해 메타(Meta)에 대해 유럽 내 개인정보를 미국으로 이전한 문제로 12억유로(약 1조9000억원)의 과징금을 부과했으며, 네덜란드 개인정보보호당국(Dutch DPA)은 지난 2024년 7월 우버(Uber)에 대해 유럽 택시 운전기사들의 개인정보를 미국으로 부적절하게 이전했다는 이유로 2억9000만유로(약 4200억원)의 벌금을 부과한 바 있다. 이를 롯데카드에 적용할 경우 벌금의 액수는 1000억원을 훌쩍 넘게 된다.

특히 미국은 징벌적 배상과 집단소송 제도가 결합돼 개인정보 유출 사건에서 막대한 배상 책임이 뒤따른다. 대표적으로 2017년 에퀴팩스(Equifax) 해킹 사건의 경우 약 1억4700만명의 개인정보가 유출됐으며 이로 인해 회사는 최대 4억2500만달러(약 5700억 원)를 피해자 보상 재원으로 합의한 바 있다. 

또한 최근에는 미국의 통신 서비스 업체인 AT&T가 개인정보 유출 소송과 관련해 1억 7700만달러(약 2300억원) 규모의 합의금을 제시하기도 했다. 이는 미국식 집단소송이 기업에 부과하는 부담이 어느 정도인지를 보여주는 사례라 할 수 있다.

이를 롯데카드 피해자 규모(297만명, 에퀴팩스의 약 2%)에 단순 비례 적용하면 150억~200억원 수준이지만, 미국 특유의 집단소송과 징벌적 손해배상을 고려하면 수천억원대 부담금이 발생할 수 있다는 분석이 나온다. 

이에 전문가들은 이번 사태를 계기로 개인정보 유출에 대한 과징금이나 보상 체계를 개선할 필요가 있다고 지적했다. 유럽의 GDPR 수준의 매출 연동 벌금과 미국식 징벌적 배상제도를 반영한 '한국형 GDPR' 논의가 불가피하다는 것이다.

대외경제정책연구원은 지난 5월 보고서를 통해 "EU GDPR 위반사례와 과징금도 증가 추세로, EU 개인정보보호 당국의 집행 의지 강화의 결과로 해석된다"면서, "우리 정부는 EU GDPR 시행에서 식별된 내용을 참고해 개인정보 보호와 활용을 위한 국내 정책 및 법·제도를 지속적으로 개선할 필요가 있다"고 밝혔다.