롯데카드, 해킹 사고로 영업정지 4.5개월... 금융권 제재 수위 높아졌다

금융감독원이 지난해 대규모 고객정보 유출 사고를 일으킨 롯데카드에 영업정지 4.5개월과 과징금 50억원을 의결하고, 조좌진 대표에게는 문책 경고를 결정한 것으로 알려지면서 금융권의 정보보호 책임에 대한 제재 수위가 한층 높아졌다는 평가가 나온다.

30일 금융권에 따르면 금감원은 이날 제재심의위원회를 열어 롯데카드 제재안을 확정했다. 이번 조치는 2025년 9월 발생한 해킹 사고에 따른 것이다. 당시 롯데카드에서는 전체 고객의 약 3분의 1에 가까운 297만명의 정보가 외부로 유출됐다. 이 가운데 카드번호와 유효기간, 씨브이씨(CVC) 번호 등 실제 부정 사용으로 이어질 가능성이 있는 핵심 정보가 포함된 고객은 28만명으로 추산됐다.

금융당국 제재는 단순히 사고 규모만이 아니라 소비자 피해 가능성과 내부통제 부실 여부를 함께 본다는 점에서 의미가 있다. 특히 카드사는 결제 정보와 개인 신용정보를 함께 다루는 업종이어서 보안 사고가 발생하면 신용카드 부정 사용, 명의도용, 2차 금융사기 같은 후속 피해로 번질 수 있다. 이런 이유로 영업정지는 금융회사에 내려지는 제재 가운데 시장에 미치는 충격이 큰 편인데, 회사의 신규 영업과 대외 신뢰에 직접적인 부담을 주기 때문이다.

조 대표에게 내려진 문책 경고도 적지 않은 중징계로 분류된다. 금융회사 임원 제재는 주의, 주의적 경고, 문책 경고, 직무 정지, 해임 권고의 5단계로 나뉘는데, 이 가운데 문책 경고 이상은 3년에서 5년 동안 금융권 취업이 제한될 수 있다. 다만 이날 제재안은 최종 확정 단계는 아니다. 금감원 제재심을 거친 안건은 금융위원회 정례회의 의결을 통해 최종 결정되며, 이 과정에서 제재 수위가 일부 조정될 가능성도 남아 있다.

롯데카드는 이번 사안을 두고 과거 2014년 직원에 의한 정보유출 사건과는 성격이 다른 외부 해킹 사고라고 설명하면서, 해킹 사고에 영업정지까지 부과하는 것은 이례적으로 무거운 제재라는 입장을 보였다. 회사는 금융위원회 심의 과정에서 사후 대응 노력과 2차 피해가 발생하지 않았다는 점, 가중처벌 여지가 크지 않다는 점을 소명하겠다고 밝혔다. 다만 금융당국이 최근 금융회사의 전산 사고와 정보보호 실패를 소비자 신뢰 훼손 문제로 엄격하게 다루는 흐름을 감안하면, 이번 조치는 카드업계 전반에 보안 투자와 내부통제 강화 압박을 더 키울 가능성이 있다.