|
실제 개인정보 유출 등 사이버 침해사고에 대해 영업정지와 과징금 등 무거운 제재가 부과되고 있음에도, 피해는 줄지 않고 있다. 영업정지 6개월과 과징금 1억원은 여신전문금융업법상 최고 수준의 제재로 규정돼 있으며, 전자금융거래법이나 신용정보법 등 다른 법령이 함께 적용될 경우 제재 수위가 크게 달라질 수 있는 구조다. 최근 개인정보가 유출된 기업 가운데는 전자금융거래법상 최대 과징금인 50억원 부과 가능성이 거론되기도 했다.
이 같은 흐름은 통계에서도 확인된다. 국가데이터처가 발표한 ‘2025 한국의 사회동향’에 따르면 지난해 사이버 침해사고 신고 건수는 1887건으로 2023년(1227건) 대비 47.8% 급증했다. 해커들의 범죄 수법이 나날이 진화하면서 사고 원인 파악은 물론 침해 사실 자체를 즉시 인지하기 어려운 상황이 펼쳐지고 있다.
금융소비자단체는 개인정보 유출의 경우 무과실 책임에 대해서도 처벌하되, 사고 이후 신속한 통지와 피해 확산 방지에 나선 기업에는 제재를 경감하는 구조가 필요하다는 의견을 내놓고 있다. 강형구 금융소비자연맹 부회장은 “유출 사실을 인지한 즉시 소비자에게 알리고 2차 피해 방지 조치에 나선 기업까지 동일하게 처벌하는 것은 바람직하지 않다”며 “사고 이후 대응의 속도와 투명성을 제재 수위에 반영해야 한다”고 말했다.
개인정보 보호를 관할하는 개인정보보호위원회(개보위)에서도 이러한 문제의식이 공유되고 있다. 송경희 개보위원장은 2024년 10월 국회 국정감사에서 “개인정보 유출 시 정해진 72시간보다 더 빨리 신고하는 기업들에게는 가점을 주겠다”고 언급했다.
업계에서는 이러한 대응 필요성을 설명하는 사례로 롯데카드의 대응을 거론한다. 롯데카드는 지난해 8월 개인정보 유출 사실을 인지한 뒤 약 12시간 만에 금융감독원에 침해사고를 신고했으며, 지난해 9월 17일 고객 정보 유출을 확인한 뒤 하루 만에 유출 고객에 대한 통지에 나섰다. 현행법은 침해 사고 발생 시 24시간 이내 관계 기관 신고와, 개인정보 유출 사실 인지 후 72시간 이내 당사자 통지를 규정하고 있다.
