[빗장 풀린 금융보안] 고객정보 관리 소홀 과태료는 단돈 130원···솜방망이 대처에 사고 빈발

"수십억원 고객 피해 발생하는데 기업체는 3000만원 내면 끝"

[사진=게티이미지뱅크]

지난 2014년 카드사 대규모 정보 유출 사고부터 최근 토스 개인정보 도용사고까지 크고 작은 해킹 사고가 빈발하고 있다. 짧은 기간 동안 굵직한 사고가 이어지고 있는 셈이다. 관련 업계에서는 사고를 당한 금융사·핀테크 기업도 또 하나의 피해자라는 명목으로 솜방망이 처벌을 받기 때문이라는 지적이 나온다.

우리나라는 2011년 개인정보보호법 제정을 시작으로 꾸준히 개인정보보호 장치를 강화해왔다. 실제 2014년 카드사 대규모 정보 유출 사고 이후 개인정보 보호에 방점을 두고 관련 법안을 마련하고 대책을 집행해왔던 것이 사실이다.

그러나 금융사·핀테크 기업의 정보보안 태도는 이전과 크게 달라지지 않았다는 분석이 적지 않다. 정부의 각종 대책이 도입됐음에도 불구하고 여전히 보안이 영업·고객 유치에 비해 우선순위가 뒤쳐져 있다는 진단이다.

관련 업계에서는 이를 위해 정보보안에 소홀한 기업에 강도 높은 처벌이 필요하다는 목소리가 높다. 솜방망이 수준의 처벌을 실효성 있도록 상향 조정해야한다는 시각이다.

실제 지금까지 발생한 개인정보 유출 사고 중 기업체의 정보보안이 불충분했다면 대부분 과태료·벌금 등의 처벌을 받았다. 문제는 2012년부터 지난해까지 이 같은 사례 6234건을 살펴보면 과태료(방송통신위원회 부과)가 81억8381만원 수준에 불과하다는 것이다. 건당 과태료를 환산하면 131원에 불과한 수준이다.

아울러 대규모 고객 피해가 발생하는데 반해 과태료가 너무나 작은 것도 문제로 꼽힌다. 올해 초 암호화폐 거래소 빗썸은 70억원 규모의 암호화폐 유출 및 고객정보 유출 사고를 막지 못했으나 벌금 3000만원의 처벌을 받는데 그쳤다.

반면 해외의 경우 대규모 정보유출 사건에 점차 처벌 강도를 높이고 있다. 영국 정보위원회(ICO)는 지난해 해커 공격에 대규모 고객 정보 유출 사고를 일으킨 브리티시항공에는 2억3000만달러(약 2700억원)의 벌금을 부과했고, 메리어트인터내셔널에 1억2400만달러(약 1460억원)의 벌금 부과 계획을 통보했다.

핀테크 업계 관계자는 "수십억 고객 피해가 발생하더라도 기업체는 겨우 몇 천만 원의 벌금만 내는 격"이라며 "브랜드 이미지 타격을 제외하면 수억원씩 보안에 투자할 필요가 전혀 없는 셈"이라고 말했다.

아울러 해커에 대한 처벌도 강화토록 해야 한다는 의견도 나왔다. 과거 개인정보를 유출한 해커들은 민사책임을 부담하지 않고 형사책임만 부담하는 형태로 종결됐다. 때문에 해커들은 처벌에도 아랑곳 하지 않고 피해자를 양산하고 있다는 분석이다.

한 법무법인 관계자는 "해커가 처벌을 받아도 형량이 높지 않고, 범죄 전과를 자신의 '훈장'으로 생각한다"며 "해커들이 천문학적인 손해배상을 부담하도록 해야 범죄 억제 효과를 기대할 수 있다"고 말했다.