[기획] 금융위 “고객 정보유출 엄벌” 장담했지만… 결국 솜방망이 처벌?

1억 건이 넘는 고객정보가 유출된 롯데·KB국민·NH농협카드 등 신용카드 회사들은 어떤 처벌을 받을까. 고객들은 최고 수준의 처벌을 바란다. ‘사고→재발방지 약속→경징계→사고’의 고리를 끊기 위해서라도 이번엔 무거운 책임을 물어야 한다는 것이다.

이 같은 인식은 금융당국도 공유하고 있다. 신제윤 금융위원장은 지난 14일 열린 간담회에서 “최고경영자를 포함해 업무관련자에게 엄정한 책임을 묻겠다”며 “법상 허용 가능한 최고 한도의 제재를 검토하고 있다”고 말했다. 하지만 금융권에서는 결국 기관경고와 임직원 감봉 선에서 마무리될 것이라는 예측이 지배적이다.

고객정보 유출에 대한 처벌기준이 매우 모호한 탓이다. 신용정보법 시행령을 보면 정보 유출 금융사에 부과되는 최고 과태료는 600만원에 불과하다. 고객정보 관리자에 대한 규정도 정보통신망법에서 2년 이하의 징역이나 1000만원 이하의 벌금형이 가능하지만 ‘기술적·관리적 조치를 하지 않았을 경우’라는 조항의 해석여부에 따라 빠져나갈 구멍이 많다. 정보 유출자에 대한 처벌 규정도 각기 다르다. 개인정보보호법과 신용정보법에 따라 최고 5년 이하의 징역에 처해지지만, 전자금융법에서는 7년 이하의 징역형을 받는다.

실제로 금융당국의 처벌은 늘 솜방망이 수준이었다. 175만건의 개인정보를 흘린 현대캐피탈과 정태영 사장은 지난 2011년 9월 금융감독원으로부터 각각 ‘기관경고’와 ‘주의적 경고’를 받는 데 그쳤다. 정보기술(IT) 담당자가 감봉 3개월을 받은 것이 중징계의 전부였다.

현대캐피탈의 경징계 이후 금융당국이 처벌을 강화하겠다고 했지만 변한 건 없었다. 각각 47만건, 5만건의 정보를 유출한 삼성카드와 하나SK카드도 2012년 9월 경징계를 받았다. 이 두 회사는 현대캐피탈보다 더욱 가벼운 수준인 기관주의와 과태료 600만원 처분을 받는 데 그쳤다. 이후 다른 유출사고에서도 중징계를 받은 금융사는 없었다.

이에 따라 이번에도 결국 중징계를 내리지 못할 것이라는 분위기가 팽배하다. 애매한 규정과 검사 이후 금융사에 미칠 영향력을 고려한다면 징계수준이 결국 약해질 수밖에 없다는 것이다. 14일 고승범 금융위 사무처장은 ‘대표의 해임까지 고려하느냐’는 기자들의 질문에 “검사를 해본 후 검사결과에 따라 제재를 할 것”이라며 한 발 물러섰다.

끊이지 않고 발생하는 정보 유출 사태에 최고 수준의 징계를 명문화해야 한다는 목소리가 높다. 처벌 수준이 강하지 않아 금융사들이 정보유출에 대한 경각심이 낮다는 것이다. 신 위원장이 공언한 대로 기관과 임원에 취할 수 있는 가장 강력한 제재를 가해야 한다는 지적이다.

조남희 금융소비자원 대표는 15일 “고객정보를 유출한 금융사에 실효성이 있는 제재가 있었던 적이 단 한 번도 없었다”며 “실질적이고 강력한 제재를 가해 금융사 스스로 고객정보 보호에 더욱 전념을 다할 수 있는 분위기를 만들어야 한다”고 강조했다.

진삼열 기자 samuel@kmib.co.kr