금융사가 불법 유출된 고객 정보를 이용하면 관련 매출의 최대 3% 과징금 폭탄을 맞게 된다. 정보 유출 시에도 최대 50억원 과징금이 부과된다.
개인정보유출 종합대책안은 기존 매출액 1%의 과징금을 3%로 상향하는데 초점을 맞췄다. 3배나 높아진 수치다.
형벌 수준과 과태료도 대폭 늘어난다. 개인정보 유출과 불법 활용 형벌 수준을 금융관련법 최고 수준으로 격상했다. 정보 유출자는 최대 10년 이하 징역 또는 5억원 이하(은행법) 벌금을 내야한다.
금융사 CEO와 임원 등 정보보호 책임자 ‘해임’도 가능해진다. 신용정보 관리·보호인과 CEO는 신용정보 보호와 관련된 의무를 부과하고 상응하는 제재를 부과할 계획이다.
보안 취약점 관리 강화를 위해 정보보호·전산보안 관련 책임자의 권한과 책임이 강화된다. 모든 금융사는 신용정보 관리·보호인을 ‘임원’으로 선임하고 정보보호최고책임자(CISO)는 타 관련 IT 직위 겸직이 전면 제한된다.
정보보호 책임자는 매년 정보보호 연차보고서를 CEO와 이사회, 감독당국에 제출해야 한다.
금융사 보안대책이 부실하면 과태료가 기존 600만원에서 5000만원으로, 영업정지는 3개월에서 6개월로 2배 이상 늘어난다. 사고 발생을 고의로 숨기면 가중 처벌 받는다.
정보 유출 사각지대로 불렸던 모집 업무 위탁관리시스템도 전면 손질한다. 금융사가 모집인에 정보를 제공할 때에는 최소 정보만을 암호화해야 한다. 정보를 유출해 활용한 모집인이 적발되면 계약 해지와 함께 5년간 재등록이 제한되며 해당 금융사도 과징금 등이 부과된다.
정보가 제공됐더라도 업무 목적 외에 사용을 금지하고, 모집인은 정부 활용·파기 관리대장을 작성해 해당 금융사에 제출해야 한다. 모집 행위가 완료되면 관련 정보는 즉각 폐기 처분토록 했다. 만일 모집인의 불법 정보 활용이 적발되면 연좌제 형태로 해당 금융사도 막대한 과징금을 물어야 한다.
하지만 업계에서는 3% 징벌적 과징금제 도입에 대해 ‘눈가리고 아웅’하는 졸속 대책이라는 입장이다. 대책에 함정이 있다는 것이다. 정부가 내세운 3% 금액은 정보유출과 직접적으로 관련된 사업 매출의 3%다. 금융사 전체 매출의 3%가 아니기 때문에, 산정 기준 자체가 주관적일 수밖에 없다고 주장했다.
한 금융사 고위 관계자는 “징벌금은 위반행위·불법 정보 등에 영향을 받는 관련 매출액 과실 정도에 따라 기준 금액을 산정한다”며 “그럴 경우 자산규모는 수조원인데, 대출모집 등 정보수집 업무 매출이 미미한 기관은 상대적으로 미미한 과징금을 받게 된다”고 지적했다.
아울러 CISO 겸직 제한 등 일부 사후 관리 대책은 농협 등 지난해 3·20 대란 당시 정부가 마련한 대책을 그대로 답습하는 수준에 머물렀다는 평가도 나왔다.
길재식기자 osolgil@etnews.com