개보법 부과땐 '최대 900억'…개인·신용정보 동시 유출로 신용정보법 우선 적용된 탓
'징벌적 과징금' 서두르지만 해당 사고 소급 적용은 불가
 |
롯데카드 유출정보 유형 및 건수/그래픽=이지혜 |
롯데카드 해킹사고로 297만명의 정보가 대량 유출됐지만 롯데카드에 대한 과징금은 최대 50억원에 그칠 전망이다.
개인정보보호법(이하 개보법)이 적용되면 매출액의 3%까지 과징금 부과가 가능하지만 개인정보와 신용정보가 동시에 유출돼 신용정보법(이하 신정법)을 우선 적용해야 하기 때문이다. 신정법에는 해킹으로 인한 정보유출 상한선이 50억원에 그친다. 정부가 '징벌적 과징금' 도입을 서두르고 있으나 롯데카드에는 소급 적용할 수 없다.
━
롯데카드, 과징금 큰 개보법 대신 신정법 적용
━
22일 정부 등에 따르면 롯데카드는 신정법과 개보법의 과징금 '사각지대'에 따라 결과적으로 과징금이 최대 50억원에 그칠 가능성이 높은 것으로 전해졌다.
개보법상 개인정보가 유출되면 매출액의 최대 3% 과징금 부과가 가능하다. 지난해 매출액이 3조원인 롯데카드에 개보법을 적용하면 과징금 900억원이 나온다는 뜻이다. 반면 신정법에서는 '해킹'에 의한 과징금 한도가 최대 50억원으로 개보법의 18분의1 수준에 그친다. 대출이나 신용카드 정보 등 신용거래와 관련된 정보는 신정법을 적용한다.
━
22일 정부 등에 따르면 롯데카드는 신정법과 개보법의 과징금 '사각지대'에 따라 결과적으로 과징금이 최대 50억원에 그칠 가능성이 높은 것으로 전해졌다.
개보법상 개인정보가 유출되면 매출액의 최대 3% 과징금 부과가 가능하다. 지난해 매출액이 3조원인 롯데카드에 개보법을 적용하면 과징금 900억원이 나온다는 뜻이다. 반면 신정법에서는 '해킹'에 의한 과징금 한도가 최대 50억원으로 개보법의 18분의1 수준에 그친다. 대출이나 신용카드 정보 등 신용거래와 관련된 정보는 신정법을 적용한다.
문제는 법체계상 개보법은 다른 법에 특별한 규정이 없을 때만 적용할 수 있다는 점이다. 롯데카드가 해킹으로 유출한 정보가 개인정보가 아닌 신용정보(개인정보가 결합된)에 해당하면 신정법을 적용해야 한다. 롯데카드 측이 지난 19일 공개한 정보유출 유형을 보면 개인정보와 신용정보가 복합적으로 유출된 건수는 75만건, 순수하게 신용정보만 유출된 건수는 222만건이다. 롯데카드가 금융당국 쪽에 비공식적으로 밝힌 순수한 개인정보(주민번호, 생년월일, 전화번호 등) 유출건은 950건에 그친다.
신용정보와 결합돼 나간 개인정보는 신용정보로 판단해 신정법이 적용된다. 한 정부 관계자는 "온라인 결제거래로 인해 유출된 주민번호라면 신정법 적용대상으로 볼 여지가 크다"고 해석했다.
롯데카드도 이를 의식해 해킹사고가 터진 후 개보법상 자진신고 건수기준(1000건 이상)에 미달해 개인정보보호위원회(이하 개보위)에 정보유출 신고를 하지 않았다는 취지로 해명했다.
정부는 이재명 대통령의 지시에 따라 디지털금융보안법 제정으로 징벌적 과징금 도입을 서두르고 있으나 롯데카드에는 소급해서 적용하기는 어렵다.
━
5년간 개인정보 8854만건 유출…과징금은 건당 1019원
━
한편 국회 정무위원회 소속 민병덕 더불어민주당 의원이 개보위의 개인정보 유출현황을 분석한 데 따르면 2021년부터 2025년 7월까지 공공과 민간부문에서 451건의 사고로 8854만건의 개인정보가 유출됐다.
과징금은 유출된 정보건수로 나누면 개인정보 1건당 과징금이 1019원이었다. 개인정보 1건당 과징금은 2021년 41원, 2022년 200원이었다가 2023년 1063원, 2024년 8302원으로 늘었다. 올해 들어서는 7월까지 2743원으로 집계됐다.
민 의원은 "유럽의 개인정보보호규정과 같은 수준의 과징금 부과와 함께 집단소송제·징벌적 손해배상제 도입 등 제재수단을 강화해야 한다"고 강조했다.
권화순 기자 firesoon@mt.co.kr 황국상 기자 gshwang@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.