[인더스트리뉴스 이주엽 기자] 롯데카드의 개인정보 유출 사태와 관련해 금융감독원이 여신전문금융업법(여전법) 등 관련 법령 위반 여부에 대한 전방위적 조사에 착수했다.
이번 조사는 단순한 보안 미비 차원을 넘어 소비자 보호 의무 위반에 따른 법적 책임까지 묻겠다는 금융당국의 의지가 반영된 것으로 해석된다.
23일 금융당국에 따르면 금감원은 이번 롯데카드 해킹 사고와 관련해 여전법, 전자금융거래법(전금법), 신용정보법(신정법) 위반 여부를 중점적으로 들여다보고 있다. 조사에는 금감원 디지털·IT본부와 중소금융본부 감독·검사 부서가 총동원된 것으로 알려졌다.
금감원 관계자는 “여전법에도 신용정보 관리 의무 조항이 있어 위반 여부를 확인 중”이라며 “전금법과 신정법 위반 여부는 IT검사국이, 여전법 위반 여부는 별도로 검사 중”이라고 밝혔다. 이어 “이번 검사는 통상적인 점검이 아닌 법 위반 사실 중심의 조사”라고 강조했다.
금감원은 현재 카드 재발급과 해지, 고객 응대 등 사태 수습 상황도 병행 점검하고 있다. 검사 일정 역시 사태 진정 시까지 연장 운영될 예정이다.
앞서 금융당국과 금융보안원의 합동 조사 결과, 신원 미상의 해커는 지난달 14일부터 27일까지 롯데카드 온라인 결제 서버(WAS)에 침입해 악성 프로그램을 설치, 약 200GB 규모의 데이터를 외부로 반출한 것으로 확인됐다.
유출된 정보에는 총 296만9000명의 신용정보가 포함됐으며, 이 가운데 28만3000명(9.5%)은 카드 비밀번호와 보안코드(CVC)까지 유출된 것으로 드러났다.
금감원은 이번 사태의 심각성을 감안해 관련 법령에 따라 과징금 또는 영업정지 등 중징계를 내릴 수 있다는 입장이다.
여전법 제24조는 여신전문금융회사가 보유한 신용정보를 안전하게 관리할 의무를 명시하고 있으며 이를 위반할 경우 제재가 가능하다.
현행 신용정보법과 정보통신망법상 고객정보 유출이 발생하면 매출액의 최대 3%까지 과징금이 부과될 수 있다.
롯데카드의 지난해 영업수익(2조7000억원)을 기준으로 하면 최대 810억원 규모의 과징금이 가능하다. 다만, 실제 제재 수위는 검사 결과 및 제재심 판단에 따라 결정된다.
당국은 이번 사태를 계기로 제도 개선을 본격 추진할 계획이다.
업계 일각에서는 이번 사태로 인해 영업정지 또는 고액 과징금 처분이 현실화될 가능성이 있다는 전망도 나오고 있다.
보안 관리의 책임뿐 아니라 사후 조치 미흡까지 제재 사유로 고려되는 만큼 금융사들의 IT 보안 및 소비자 보호 의무는 한층 강화될 것으로 보인다.
