[서울=뉴스핌] 이윤애 기자 = 금융감독원이 롯데카드 해킹 사고에 대해 4.5개월 영업정지 처분을 확정하면서 카드업계 제재 기준이 바뀌는 '룰 체인지' 신호로 해석되고 있다. 외부 해킹 사고에도 영업정지를 적용한 것은 사실상 첫 사례로, 내부 유출 중심이던 징계 원칙이 '보안 책임' 중심으로 확대됐다는 평가다.

30일 금융권에 따르면 금감원은 이날 2차 제재심의위원회를 열고 고객 297만명의 개인정보가 유출된 롯데카드 사고에 대해 영업정지 4.5개월과 과징금 50억원을 원안대로 의결했다. 지난 16일 1차 제재심에서는 법리 적용을 둘러싼 이견으로 결론을 내지 못했지만, 추가 검토 끝에 기존 제재안을 유지한 것이다. 최종 제재는 금융위원회 정례회의를 거쳐 확정된다.

핵심 쟁점은 외부 해킹 사고에도 영업정지를 적용할 수 있느냐는 법리 판단이었다. 롯데카드 측은 내부 유출과 동일한 수준의 중징계는 과도하다는 입장이었지만, 금감원은 보안 관리 체계 미흡으로 민감 정보가 대규모로 유출된 점을 중대하게 판단한 것으로 풀이된다. 앞서 개인정보보호위원회(개보위), 방송미디어통신위원회(방미통위)도 각각 과징금과 과태료를 부과하며 유사한 책임론을 적용했다.

업계 일각에서는 이번 결정이 자진 신고 유인을 약화시킬 수 있다는 우려도 나온다. 해킹 사고에 대해 영업정지까지 부과될 경우, 초기 신고보다 리스크 은폐 유인이 커질 수 있다는 것이다.

반면 당국은 이번 사고에서 드러난 보안 관리 부실을 중대한 과실로 보고 있다. 롯데카드는 지난해 해킹으로 회원 297만명의 개인정보가 유출됐고, 이 중 약 28만명은 주민등록번호와 카드번호, 유효기간, CVC 등 민감 정보까지 포함됐다. 특히 해당 사고는 2017년 이미 패치가 배포된 오라클 웹로직 취약점을 방치하면서 발생했고, 이로 인해 약 17일간 정보 유출이 이어진 것으로 파악됐다.

로그 데이터가 암호화되지 않은 상태로 저장되는 등 기본적인 보안 조치도 미흡했던 것으로 조사됐다. 방미통위 역시 전날 롯데카드에 대해 과태료 1125만원을 부과하며 내부 규정 미수립과 대응 계획 부재 등 안전조치 의무 위반을 지적했다.

이처럼 '외부 해킹'이라는 불가피성과 '내부 통제 부실'이라는 책임론이 맞물리면서 이번 제재는 향후 카드업계 징계 기준의 분수령이 될 전망이다. 업계에서는 우리카드와 신한카드 등 후속 제재에도 직접적인 영향을 미칠 것으로 보고 있다. 내부 유출 성격이 강한 이들 사례와 달리 외부 해킹에 대한 기준이 먼저 설정된 만큼, 제재 수위의 기준점이 재정립될 가능성이 크다는 분석이다.

롯데카드 관계자는 "해킹 사고에 대해 영업정지를 부과하는 것은 전례 없는 수준의 제재"라며 "금융위원회 의결 등 후속 절차가 남아있는만큼 가중처벌에 대한 이견을 소명하고 사후 대응 노력 및 2차 피해가 발생하지 않았다는 점 등을 충분히 설명하겠다"고 말했다.

yunyun@newspim.com