여 신용정보법 개정안 추진
매출 1조 기업 300억 과징금
일각선 “과도한 처벌” 비판도
금융회사가 고객의 정보 유출 시 부과받는 최대 과징금의 한도가 사라질 전망이다. 현행 신용정보법상 개인정보를 유출한 금융사에 부과할 수 있는 과징금은 전체 매출액의 3%까지지만, 최대 부과한도가 50억 원으로 제한돼 있어 실제로 매출액의 3%라는 큰 과징금을 내는 곳은 없었다.
그러나 50억 원이라는 과징금 최대 한도를 없애는 법 개정안이 발의되며 실제로 매출액 기준의 과징금을 부과할 길이 열릴 것으로 보인다. 마이데이터(본인신용정보관리업) 등 고객의 정보를 활용하는 금융산업이 확대되는 상황에서 금융사의 개인정보 유출에 따른 책임이 앞으로 더 커질 것으로 예상된다.
4일 민형배 더불어민주당 의원실에 따르면 최근 민 의원은 ‘신용정보의 이용 및 보호에 관한 법률 일부개정법률안’을 대표발의했다. 이 개정안은 정무위원회에 회부된 상태다.
앞서 금융위는 지난 2014년 카드사의 대량 고객정보 유출 사태의 재발 방지를 위해 개인정보를 불법적으로 유출하거나 활용한 금융회사는 관련 매출액의 3%를 징벌적 과징금으로 물 수 있도록 했고, 과징금 한도도 기존 1~5억 원에서 50억 원으로 확대했다.
이번에 발의된 개정안은 신용정보법 제42조의2에서 ‘다만, 50억 원 이하의 과징금을 부과할 수 있다’라는 문구를 삭제하며 과징금 한도를 완전히 없애는 내용을 담고 있다.
이 개정안이 통과되면 매출액 1조 원의 금융사에서 고객정보 유출 사고가 발생할 시 부과되는 최대 과징금은 기존 50억 원에서 300억 원으로 크게 늘어난다.
민 의원은 “현행법상 신용정보회사를 비롯한 금융사들은 신용정보시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경·훼손 및 파괴, 그 밖의 위험에 대해 기술적·물리적·관리적 보안대책을 수립·시행해야 한다”며 “만약, 개인신용정보가 분실·도난·누출·변조·훼손되면 금융위원회는 과징금을 부과하지만 이 과징금이 매출규모가 큰 신용정보회사 등에게 실질적 제재수단이 되지 못한다는 우려가 있다”고 지적했다.
그러면서 민 의원은 “과징금을 전체 매출액의 100분의 3이하까지로 했는데, 단서 조항으로 개인신용정보 분실 등에 부과최대한도는 50억 원으로 한정했기 때문”이라며 “보안에 있어 세부적인 사전규제보다는 강력한 사후처벌만이 기업에게 실질적인 변화를 끌어낼 수 있다”고 강조했다. 이어 “현행법이 규정한 제재수단의 실효성을 제고하고, 금융소비자들의 신용정보 보호를 더욱 두텁게 하기 위한 것”이라고 덧붙였다.
실제로 유럽의 경우 고객 정보를 유출한 회사는 2000만 유로(약 270억 원)와 연간 총 매출액의 4% 중 높은 금액을 과징금으로 부과하며 우리나라보다 더 강하게 금융사에 고객 정보 유출에 대해 강한 책임을 물고 있다.
이 개정안이 국회를 통과할 시 금융사의 고객정보보호 수준은 더욱 강화될 것으로 기대된다. 다만, 금융권에선 과거 고객정보 유출 사태 이후 보안에 충분한 노력을 기울이는 상황에서 처벌이 과도하게 강화되며 부담만 가중되고 있다는 지적도 나오고 있다.
한 금융회사 관계자는 “해외 사례를 보더라도 징벌적 손해배상으로 회사가 문를 닫는 경우도 종종 볼 수 있을 정도로 개인정보 유출은 엄중한 처벌이 필요한 것에 공감한다”며 “현재 처벌의 수위를 떠나 모든 기업이 유출 방지에 노력을 기울이고 있고 정보보호에 많은 투자와 노력을 기울이고 있다”고 토로했다.
그러면서도 “다만 관리에 최선을 다하고 있지만 불가항력적인 부분이 있고, 금융회사 등의 경우 고객보호 등 안정성 측면도 고려해 과도한 부담을 지우는 것은 제고될 필요가 있다”며 “단순히 처벌의 수위에 집중하기 보다는 예를 들어 관련 재단을 설립해 기금으로 납부하고, 정보보호 역량 향상을 도모하는 등 발전적 측면의 논의도 병행됐으면 한다”고 강조했다.