금융위 “금융사 보안사고 징벌적 과징금 신속 추진...금융사 긴급 점검”
권대영 금융위 부위원장은 19일 정부서울청사에서 열린 과학기술정보통신부와의 합동 브리핑에서 “보안 사고가 발생하면 사회적 파장에 상응하는 엄정한 책임을 묻겠다”며 “징벌적 과징금 도입을 신속히 추진하겠다”고 밝혔다. 2023년 9월 개정된 개인정보보호법에 따르면 현재 과징금은 ‘전체 매출액의 최대 3%’까지 부과할 수 있다. 유럽연합(EU)에선 매출의 최대 4%까지 과징금을 부과할 수 있고, 미국에선 집단소송과 징벌적 손해배상으로 수천억원대의 배상이 이뤄지기도 한다.
권 부위원장은 “보안 투자를 불필요한 비용으로 치부하는 안이한 태도가 금융권에 있지 않았는지 냉정히 돌아봐야 할 시점”이라며 “국민이 금융회사를 신뢰할 수 있도록 보안 실태에 대한 밀도 높은 점검과 함께 재발 방지를 위한 근본적인 제도 개선에 즉시 착수하겠다”고 말했다.
금융위는 최고경영자(CEO) 책임으로 전산시스템과 정보보호 체계를 신속하게 점검하고, 금융감독원ㆍ금융보안원 등을 통해 점검 결과를 면밀히 감독하겠다고 밝혔다. 기업 내 정보보호 최고책임자(CISO)가 예산을 적정하게 편성할 수 있게 권한을 키우고, 소비자를 위한 공시 수준을 높이는 등의 대책도 마련하기로 했다. 사고 발생 시 피해자 구제 절차를 의무화하는 방안도 검토된다. 권 부위원장은 “(2014년 카드 정보 대규모 유출 이후) 지난 10년간 큰 사고가 없었기 때문에 보안 예산과 인력 확보를 자율에 맡겼지만 소홀했던 측면이 있다”며 “망 분리 등 디지털화가 빨라지면서 취약점이 늘어난 측면이 있어, (보안 관련) 조직ㆍ인력을 CEO 관리 하에 배치하는 방안을 검토 중”이라고 덧붙였다.
앞서 지난 1일 롯데카드가 해킹 피해를 금융당국에 보고한 직후, 금융감독원과 금융보안원은 현장 조사에 나섰다. 보름 넘게 카드사 홈페이지에는 "정보 유출은 없다"는 공지를 올려놨다. 하지만 조사 결과 해커가 롯데카드의 온라인 결제 서버(WAS)에 침입해 악성 프로그램을 심었고, 지난달 14~27일 200GB 분량의 정보를 빼내 간 것으로 드러났다. 당국에 신고한 유출 데이터(1.7GB)의 100배가 넘는다. 빠져나간 개인신용정보 296만9000명분 가운데 28만3000명은 카드 비밀번호와 보안코드(CVC)까지 노출됐다. 아직까지 구체적 피해 사례가 나오지 않았다지만 언제든 실제 피해로 이어질 수 있다. 또 금융보안원으로부터 롯데카드가 정보보호 관리체계 인증(ISMS-P)을 받았다고 밝힌 지(지난 8월 12일) 얼마 되지 않아 해킹 사건이 터지면서, 인증체계 부실론도 도마에 올랐다.
다만 권 부위원장은 “유출 정보만으로는 부정 사용의 가능성이 없다는 것이 저희의 판단이었다”며 “정확한 포렌식 결과를 통해 (위험군별로) 분류해 안내하고 있다”고 설명했다.
금융당국의 대응이 늦다는 비판도 나온다. 기술 발전에 따라 정보 유출 사고가 빈번해지고 있지만, 정부는 사고 때마다 ‘사후약방문’ 격의 대책만 내놓고 있다는 지적이다. 2014년 1억 건이 넘는 카드사 정보 유출 사태 후에야 금융보안원이 설립되기도 했다. 금융보안원 초대원장을 지낸 김영린 법무법인 바른 고문은 “IT 보안 사고는 나라 전체의 근간을 흔들 수 있는 만큼, 과징금 등 사고에 대한 책임 수준을 높여야 한다”며 “해킹 기술은 계속 발전하기 때문에 보안 대책은 아주 세밀하게 이뤄져야 한다”고 짚었다.
박유미([email protected])