[뉴스토마토 임유진 기자] 잇단 개인정보 유출 사태로 금융권 전반에도 비상이 걸렸습니다. 그간 솜방망이 처벌에 그쳤던 것과 달리 금융권의 보안을 강화하고 과징금을 상향하는 내용의 법안이 발의되면서 보안 투자 강화가 금융사의 필수 비용으로 자리 잡을지 주목됩니다.
(그래픽=뉴스토마토)
3일 금융권에 따르면 국회 정무위원회 소속 유동수 더불어민주당 의원은 전자금융 사고 발생이나 법규 위반 시 과징금을 높이는 내용의 '전자금융거래법 일부개정법률안'을 발의했습니다. 금융사나 전자금융업체가 개인정보 유출 등 보안 사고를 일으킬 경우 매출액의 3%를 과징금으로 부과하는 내용을 골자로 합니다.
금융당국으로부터 금융사가 보안 취약 진단을 받았는데도 제대로 이행하지 않았을 경우엔 최대 5000만원 이하의 이행강제금을 부과토록 했습니다. 기업의 규모에 비례한 징벌적 과징금 체제로 전환한다는 점에서 의미가 있다는 평가입니다.
잇단 해킹 사고에 법안 추진 탄력
금융당국 역시 금융권의 보안 투자가 제대로 이뤄지지 않고 있다는 점에 문제의식을 드러내고 있습니다. 앞서 이억원 금융위원장은 "연내 '전자금융거래법' 개정안 입법이 이뤄질 수 있도록 하겠다"며 "인공지능(AI) 시대·초연결 시대로의 전환에 선제 대응할 수 있도록 금융 보안에 특화한 별도의 총괄 법제인 '디지털금융안전법' 제정 논의에 즉시 착수하겠다"고 언급한 바 있습니다.
이찬진 금감원장도 최근 기자간담회에서 "최근 사고들을 보면 우리 보안 시스템 투자는 미국과는 비교할 것도 없고 (국제) 평균에 비춰서도 형편없는 수준"이라고 평가했습니다. 이 원장은 또 "금융소비자보호법에는 보안 부분이 상대적으로 부족해서 이 부분을 전면 보완하는 법률 개정 작업이 진행되고 있다"며 "자본시장법에 준하는 규제와 제재 체계가 전면 도입될 것"이라고 예고했습니다.
최근 이커머스인 쿠팡부터 금융사인 롯데카드, 국내 최대 가상자산 거래소인 업비트, 국가 통신 기간망인 KT와 SK텔레콤 등 업종을 불문하고 동시다발적으로 해킹 사고가 터지면서 개인정보 유출에 대한 사회적 우려가 확산되고 있습니다. 이 가운데 롯데카드는 사고 초기 "유출 사실이 없다"고 했지만, 2주 뒤 카드번호와 CVC 번호 등 민감 정보까지 유출됐다고 번복해 소비자들의 공분을 사기도 했습니다.
여기에 G마켓에서도 모바일 상품권 도용 결제 사고가 발생하면서 금융당국이 긴급 현장 점검에 착수했습니다. 다만 업체 측은 해킹이 아닌 도용에 따른 부정결제라는 입장이어서 무단 결제에 사용된 간편결제 비밀번호 등의 유출 경로를 규명할 것으로 보입니다.
국내 금융업권 해킹 침해 사고 발생 현황에 따르면 지난 2020년부터 올해까지 6년간 금융권에서 해킹으로 27만건의 침해 사고가 발생했으며, 유출된 개인정보는 5만10004건에 육박했습니다. 해킹 침해 사고가 가장 많이 발생한 업권은 은행권(12건·44.4%)이었습니다. 그 뒤로 증권업(6건), 저축은행 및 손해보험(각 3건), 카드업계(2건), 생명보험업계(1건) 등의 순이었습니다.
해킹의 한 장면. (사진=연합뉴스)
금융권 낮은 보안 투자…선진국과는 딴판
그간 금융권의 보안 투자가 턱없이 적은 수준이었다는 비판을 피하기 어려울 전망입니다. 금융보안원 등에 따르면 금융·보험업 평균 보안 투자 비율은 9.6% 수준으로 집계됩니다. 글로벌 주요 금융기관이 평균 13% 이상, 유럽 일부 은행이 20%대인 것과 비교하면 턱없이 낮은 수준입니다.
금융사 입장에선 보안 투자 비용의 증가와 경영 리스크 증가 등 부담이 커진 상황입니다. 특히 매출 규모와 연동된 과징금이 부과될 경우, 대형 금융사일수록 실질적 비용이 늘어난단 점에서 부담감을 토로하고 있습니다.
금융권 관계자는 "매출 규모가 큰 금융사라도 과징금 체계가 도입되면 수익 변동성이 커져서 투자 우선순위 재조정이 불가피하다"며 "신규 서비스나 핀테크 제휴 확대가 위축될 우려가 적잖다"고 했습니다. 또 "중소 핀테크 업체나 카드사·보험사 등은 재정 여력이 많지 않기 때문에 생존이 걸린 문제로 부각될 수 있다"고 덧붙였습니다.
반면 해외 선진국의 경우 엄격한 개인정보 보호 규제와 강도 높은 징벌적 과징금을 부과하고 있습니다. 유럽연합(EU)에선 매출의 최대 4%까지 과징금을 적용하고 있습니다. 미국에서는 집단소송과 징벌적 손해배상을 통해 수백만 달러에서 수십억 달러에 이르는 배상이 이뤄지기도 합니다.
업계에선 금융권의 개인정보 유출 방지와 보안 투자는 필연적인 시대적 과제라는 진단이 나옵니다. 금융권을 비롯해 통신사나 공공기관 등 대부분의 산업이 디지털화되면서 다루는 개인정보의 양이 과거보다 대폭 늘어났기 때문입니다. 디지털 금융, 핀테크, 온라인 결제 등 데이터 기반 산업 역시 폭발적으로 성장하면서 개인정보 유출이 단순한 사생활 침해에 그치지 않고 금융 리스크로 직결되는 구조입니다.
황석진 동국대 국제정보보호대학원 교수는 "매출액 3% 과징금은 기존 고정액 제재의 한계를 넘어 대형 금융사에 실질적 보안 투자 확대를 촉진할 것"이라며 "쿠팡 사례처럼 내부자 유출이나 서버 취약 반복 사고에 실효적 압박으로 작용할 전망"이라고 내다봤습니다. 법안 추진 움직임에 대해선 "개인정보 가치 상승 시대에 적합한 조치"라며 "최고정보보안책임자(CISO) 독립성 강화와 정보보호 공시제도를 통해 예방 효과를 높일수 있을 것"이라고 말했습니다. 황 교수는 "다만 기업 부담 증가를 고려해 디지털금융안전법의 보안 등급제·실시간 보고 강화와 국가 차원 AI·클라우드 기준 마련이 병행돼야 이용자 보호와 산업 경쟁력을 동시에 달성할 수 있을 것"이라고 강조했습니다.
최준선 성균관대 명예교수는 "예방이나 사후 대책은 한계가 있고 아무리 큰돈을 투자해도 해킹을 막을 수 없다"고 했습니다. 최 교수는 "근본적으로 기업이 개인 정보를 수집, 보관하지 못하게 하는 것이 중요하다"면서 "데이터 주권을 고객에게 돌려줘야 하며 한 번 수집한 정보로 계속 우려먹지 못하게 해야 한다"고 제언했습니다.
임유진 기자 limyang83@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지