뉴스 트렌드 생활정보 International edition 매체

과징금, 전체 아닌 ‘불법관련 매출’에만 매겨 솜방망이

입력 | 2014-01-23 03:00:00

[고객정보 유출방지 대책 발표]
금융사 제재방안 실효성 논란




신제윤 금융위원장이 22일 오후 서울 중구 세종대로 금융위원회에서 ‘금융회사 고객정보 유출 재발방지 대책’을 발표하기에 앞서 고개 숙여 인사하고 있다. 박영대 기자 sannae@donga.com

정부가 22일 내놓은 ‘금융회사 고객 정보 유출 재발 방지 대책’에서 주목할 부분은 사고를 낸 금융 회사에 대한 제재 수위를 크게 높였다는 점이다. 개인정보 유출 사고에 금융 당국이 ‘솜방망이 처벌’로 대응하다 보니 금융사들의 ‘보안 기강’이 느슨해졌다는 지적에 따른 조치다.

하지만 급하게 내놓은 제재 강화 수준이 불법적인 정보 유출에 대한 일벌백계로 보기에는 강제력이 떨어진다는 비판이 나온다. 일각에서는 “기존 대책을 되풀이한 재탕 정책이 많고 구체성도 떨어진다”, “개인정보 보호 관련 법률과 감독기구 일원화와 같은 큰 그림이 없다”고 지적한다.

○ 개인정보 유출·활용시 과징금 대폭 상향

앞으로는 금융회사가 시중에 불법으로 돌아다니는 개인정보를 활용하다 적발되면 관련 매출액의 최대 1%에 해당하는 과징금이 부과된다. ‘프리랜서’인 대출모집인이 법에 어긋나는 활동을 하면 관리 책임이 있는 금융사가 과징금을 물게 된다. 예를 들어 카드회사가 불법 개인정보로 카드론 대출 영업을 했다면 해당 회사 카드론의 3년간 평균 매출액의 최대 1%를 과징금으로 내야 한다.

개인정보를 유출한 금융사도 징벌적 과징금 부과 대상이다. 현행 신용정보법상의 과징금 한도(600만 원)를 30억∼50억 원으로 높이는 방안이 검토되고 있다. 과징금·과태료와는 별도로 정보를 유출한 사람에 대한 형량이 ‘5년 이하의 징역 또는 5000만 원 이하의 벌금’에서 ‘10년 이하의 징역 또는 5억 원 이하의 벌금’으로 상향 조정된다.

정보를 유출하거나 불법적으로 활용한 금융 회사에 대한 영업정지 기간도 늘어난다. 현행 최대 ‘영업정지 3개월’인 제재 기간이 6개월까지로 길어진다. 지금까지 금융 당국은 개인정보 유출에 대해 ‘기관 경고’ 이하의 경징계만 내렸다. 정보 유출의 책임을 물어 최고경영자(CEO) 등 임원을 해임할 수 있도록 하는 제도적 장치도 마련된다. 이제까지 제재 대상이 아니었던 신용정보업체도 앞으로는 영업정지를 당할 수 있다.

당국은 과도한 개인정보 수집과 금융지주 계열사나 제휴사 간 정보 공유를 제한하기로 했다. 하지만 ‘수집 최소화의 원칙’과 ‘정보 공유에 대한 고객의 사전 동의’는 이미 개인정보보호법 등에 포함돼 있던 정책이다. 박춘식 서울여대 정보보호학과 교수는 “금융사가 규정을 준수하게 하는 구체적 실행 방안과 가이드라인을 내놨어야 한다”고 지적했다.

○ 징계 효과 제한적

이번 대책이 금융사들을 긴장시킬 만큼 강제력과 실효성이 있는지에 대해서는 논란이 있다. 가장 주목을 받은 ‘매출액의 1% 과징금 부과’가 대표적이다.

지난해 개별 신용카드사의 매출액은 1조∼3조 원 수준이다. 전체 매출액을 기준으로 하면 최대 100억∼300억 원까지 과징금을 부과할 수 있다. 하지만 ‘전체 매출액’이 아닌 ‘불법 정보와 관련된 영업 매출액’이 과징금 산정 기준이기 때문에 실제 부과액은 이보다 크게 줄어든다. 카드사의 대표 상품인 카드론 매출 비중이 5% 안팎이라 불법 정보로 카드론 영업을 하다 걸리면 5억∼15억 원만 내면 된다. 금융위가 “사실상 상한이 없는 강력한 징벌”이라고 밝힌 것과 차이가 크다. 불법 관련 매출에 대한 정의가 모호하다는 지적도 있다. 박 교수는 “개인정보를 유출한 금융사는 인·허가 취소를 하는 방안까지 검토해야 한다”라고 말했다.

개인정보 유출에 대해 최대 50억 원의 과징금을 물리는 방안도 연간 수천억 원의 순이익을 거두는 카드사에 강제력을 발휘하지 못할 것이라는 견해가 많다. 이번 카드사 정보 유출 사건처럼 수조 원에 이르는 막대한 사회적 비용에 비하면 ‘솜방망이 과징금’이라는 비판이 나온다. 영업정지를 당해도 신규 모집 영업만 불가능하고 결제에 따른 수수료 및 대출 이자 징수 영업은 계속할 수 있기 때문에 징계의 효과가 제한적이라는 지적도 있다. 카드업계 관계자는 “영업정지에 들어가면 신규 모집 판촉 비용이 줄어드는 측면도 있다”고 전했다. 이번에 내놓은 보완 대책의 대부분이 사상 최대의 정보 유출 사태를 일으킨 KB국민, 롯데, NH농협카드와 신용정보업체 코리아크레딧뷰로(KCB)에는 소급 적용되지 않아 ‘뒷북 대책’이라는 비판도 적지 않다.

전문가들은 개인정보 보호 관련 법률과 감독기구를 일원화하는 큰 틀의 대책이 빠져 있는 점도 지적했다. 현재 개인정보를 관리하는 데 적용되는 법은 신용정보법, 정보통신망법, 개인정보보호법으로 나뉘어 있다. 그러다 보니 감독기구도 금융 당국, 방송통신위원회, 안전행정부, 개인정보보호위원회 등으로 분산돼 있다. 김민호 성균관대 법학과 교수는 “개인정보 관리의 전문성이 있는 감독기구로 감독을 일원화하는 법 개정이 시급하다”고 말했다.

신수정 crystal@donga.com·이상훈 기자
홍유라 인턴기자 성균관대 신문방송학과 4학년

관련뉴스