금융감독원이 대규모 고객정보 유출 사고와 관련해 롯데카드에 영업정지와 과징금을 의결하면서, 조좌진 전 대표에게도 문책경고를 결정한 것으로 전해졌다. 금융회사 정보 유출 사고에서 최고경영자에게 중징계성 책임을 묻는 것은 상징성이 크다. 보안 사고를 더 이상 전산 부서의 실수나 외부 해커의 범죄로만 보지 않겠다는 선언에 가깝다.
그동안 국내 기업 현장에서는 사고가 터지면 실무진 문책으로 마무리되는 경우가 적지 않았다. 시스템 관리 부서나 외주업체 책임을 따지고, 최고경영자는 사과문 발표 뒤 한발 비켜서는 구조가 반복됐다. 그러나 디지털 금융 시대에는 이런 방식이 통하지 않는다. 고객 정보 보호는 단순 운영 업무가 아니라 기업 존립과 직결된 경영 과제이기 때문이다.
롯데카드에서 유출된 정보는 약 297만명 규모로 알려졌다. 이 가운데 일부는 카드번호와 유효기간 등 결제 관련 핵심 정보까지 포함된 것으로 전해졌다. 금융 소비자 입장에서 이는 단순 개인정보 침해를 넘어 직접적 금전 피해 우려로 이어질 수 있는 사안이다. 이런 사고가 발생했다면 최고경영자 책임을 묻는 것은 과도한 처벌이 아니라 당연한 경영 원칙에 가깝다.
최고경영자의 책임은 해킹 버튼을 직접 누르지 않았다는 이유로 면해지지 않는다. 보안 예산을 얼마나 배정했는지, 전문 인력을 충분히 확보했는지, 외주업체 관리를 제대로 했는지, 내부 통제와 점검 체계를 작동시켰는지 모두 경영진 결정 사항이다. 사고는 해커가 일으키지만, 취약성은 조직이 만든다. 그래서 보안 실패는 결국 경영 실패다.
이번 조치가 중요한 또 다른 이유는 금융권 전반에 주는 메시지다. 카드사와 보험사, 증권사 등 비은행권은 디지털 전환 속도는 빨랐지만 보안 투자와 인력 확충은 상대적으로 부족하다는 지적을 받아왔다. 수익성과 마케팅 경쟁에 밀려 정보보호는 후순위로 밀리는 경우도 있었다. 이번 문책경고는 그런 안일함에 대한 경고장이다.
물론 책임 추궁만으로 문제는 해결되지 않는다. CEO를 징계했다고 해서 보안 수준이 저절로 높아지지는 않는다. 각 금융사는 이사회 차원에서 사이버 리스크를 정기 점검하고, 최고정보보호책임자의 권한과 독립성을 강화해야 한다. 정보기술 예산도 비용 절감 대상이 아니라 신뢰 투자로 인식해야 한다.
조좌진 전 대표 개인의 책임을 넘어, 이번 사안은 한국 금융회사 CEO 모두에게 던지는 신호다. 고객 정보를 맡는 순간 보안 책임도 함께 맡는다는 뜻이다. 성과는 임원회의에서 나누고, 사고는 실무진에게 넘기는 시대는 끝나야 한다.
금융의 본질은 신뢰이며, 신뢰의 출발점은 안전이다. 조좌진 전 대표에 대한 문책경고는 한 사람에 대한 제재가 아니라 최고경영자 책임경영의 기준을 다시 세운 사건이다. 이제 금융권 CEO들은 실적 발표만큼 보안 점검 보고서도 무겁게 받아들여야 한다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
