“처벌만이 능사 아냐”…소비자단체, ‘피해 최소화 금융사’ 감경론

by김형일 기자
2026.02.04 10:09:48

[이데일리 김형일 기자] 금융소비자단체가 개인정보 유출 사고 이후 신속한 통지와 2차 피해 차단 노력을 기울인 기업에 대해서는 영업정지와 과징금 등 제재를 경감하는 인센티브가 필요하다고 강조했다. 사고 발생 자체보다, 사고 이후 기업이 얼마나 빠르고 투명하게 대응했는지가 소비자 피해를 줄이는 핵심 요소라는 의미다.

인정보 유출 사고 이후 신속한 통지와 2차 피해 차단 노력을 기울인 기업에 대해서는 영업정지와 과징금 등 제재를 경감하는 인센티브가 필요하다는 목소리가 나온다.(사진=게티이미지뱅크)

4일 금융권에 따르면 지난해 카드업권에서는 외부 해킹과 내부 관리 문제로 인한 개인정보 유출 사고가 잇따랐다. 롯데카드는 지난해 9월 외부 해킹 공격으로 고객 개인정보 297만건이 유출됐으며, 이 과정에서 카드번호와 CVC(카드 보안 코드), 일부 인증 관련 정보가 외부로 빠져나갔다. 이와 함께 신한카드에서도 지난해 12월 내부 직원에 의해 가맹점 대표자의 휴대전화 번호와 이름, 생년월일 등 개인정보 19만 2000건이 외부로 전달된 사실이 확인됐다. 이처럼 유출 사고가 반복되면서, 제재 수위 자체보다 사고 이후 대응의 속도와 투명성을 평가해야 한다는 주장이 힘을 얻고 있다.

실제 개인정보 유출 등 사이버 침해사고에 대해 영업정지와 과징금 등 무거운 제재가 부과되고 있음에도, 피해는 줄지 않고 있다. 영업정지 6개월과 과징금 1억원은 여신전문금융업법상 최고 수준의 제재로 규정돼 있으며, 전자금융거래법이나 신용정보법 등 다른 법령이 함께 적용될 경우 제재 수위가 크게 달라질 수 있는 구조다. 최근 개인정보가 유출된 기업 가운데는 전자금융거래법상 최대 과징금인 50억원 부과 가능성이 거론되기도 했다.

이 같은 흐름은 통계에서도 확인된다. 국가데이터처가 발표한 ‘2025 한국의 사회동향’에 따르면 지난해 사이버 침해사고 신고 건수는 1887건으로 2023년(1227건) 대비 47.8% 급증했다. 해커들의 범죄 수법이 나날이 진화하면서 사고 원인 파악은 물론 침해 사실 자체를 즉시 인지하기 어려운 상황이 펼쳐지고 있다.



금융소비자단체는 개인정보 유출의 경우 무과실 책임에 대해서도 처벌하되, 사고 이후 신속한 통지와 피해 확산 방지에 나선 기업에는 제재를 경감하는 구조가 필요하다는 의견을 내놓고 있다. 강형구 금융소비자연맹 부회장은 “유출 사실을 인지한 즉시 소비자에게 알리고 2차 피해 방지 조치에 나선 기업까지 동일하게 처벌하는 것은 바람직하지 않다”며 “사고 이후 대응의 속도와 투명성을 제재 수위에 반영해야 한다”고 말했다.

개인정보 보호를 관할하는 개인정보보호위원회(개보위)에서도 이러한 문제의식이 공유되고 있다. 송경희 개보위원장은 2024년 10월 국회 국정감사에서 “개인정보 유출 시 정해진 72시간보다 더 빨리 신고하는 기업들에게는 가점을 주겠다”고 언급했다.

업계에서는 이러한 대응 필요성을 설명하는 사례로 롯데카드의 대응을 거론한다. 롯데카드는 지난해 8월 개인정보 유출 사실을 인지한 뒤 약 12시간 만에 금융감독원에 침해사고를 신고했으며, 지난해 9월 17일 고객 정보 유출을 확인한 뒤 하루 만에 유출 고객에 대한 통지에 나섰다. 현행법은 침해 사고 발생 시 24시간 이내 관계 기관 신고와, 개인정보 유출 사실 인지 후 72시간 이내 당사자 통지를 규정하고 있다.