"중대한 보안사고 발생시 징벌적 과징금 도입"

금융위원회는 최근 롯데카드 정보유출과 관련해 개인 신용정보관리 및 정보보안 위규 사항을 파악해 허술한 관리에 대해 최대 수준의 엄정한 제재를 가할 방침이다.

금융위원회는 18일 권대영 부위원장 주재로 롯데카드 정보유출과 관련해 관계기관, 전문가 등과 함께 구체적인 유출상황을 공유하고 대응방안을 논의했다.

우선 개인신용정보 관리·정보보안 등 관련 위규 사항에 대해서는 금감원 검사를 통해 낱낱이 파악해 엄정히 조치할 예정이다. 현재 웹서버 관리, 악성코드 감염 방지 등 사태 전반에 대한 면밀한 검사가 진행 중이며, 허술한 개인정보·정보보안 관리사항에 대해서는 최대 수준의 엄정한 제재가 이뤄지도록 할 방침이라고 밝혔다.

금융위는 이같은 사태 재발을 막기 위해 금융권 보안관리 태세 긴급점검에도 즉시 착수한다.

초동 조사과정에서 확인된 보안 취약점은 지난 2일 전 금융사에 이미 전파해 자체 점검을 주문했으며, 전체 카드사 보안실태에 대한 금감원 점검을 즉시 개시하고 위규사항 발견시 즉시 보완 및 제재조치를 하기로 했다.

금융회사 보안관리 체계를 근본적으로 강화하기 위한 제도개선 과제도 신속히 추진한다. 중대한 보안사고 발생시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하고, 금융회사가 정부의 보안 수준 개선요구를 제대로 이행하지 않으면 지속적인 이행강제금을 부과키로 했다.

또한 정보보호최고책임자(CISO)가 주도적으로 보안 강화를 할 수 있도록 CISO의 권한을 강화하고, 소비자가 금융회사별 보안 수준을 비교해 서비스를 선택할 수 있도록 관련 공시 강화도 추진한다.

이와 함께 불가피하게 침해사고가 발생하더라도 금융회사가 즉각적으로 시스템 복구 및 소비자 구제 등 조치를 취할 수 있도록 전 금융권의 대응 매뉴얼 고도화도 추진할 방침이다.

앞서 롯데카드는 지난달 14~15일경 발생한 해킹사고로 약 1.7GB 규모의 정보가 유출됐다며 지난 1일 금융위 및 금감원에 신고했다. 그러나 금감원·금보원 조사과정에서 당초 신고된 1.7GB를 포함해 총 200GB의 정보유출이 확인됐다. 해커가 롯데카드의 온라인 결제서버(WAS)에 침입하고 악성 프로그램을 설치해 지난달 14~27일 기간 중 총 200GB의 정보를 유출한 것으로 밝혀졌다. 유출된 정보 내에는 총 296만9천명의 개인신용정보가 포함돼 있으며, 이중 약 28만3천만명은 카드비밀번호와 CVC도 유출된 것으로 파악됐다.

이에 롯데카드는 지난 3일부터 개인정보 유출을 가정해 정보유출 가능성이 높은 고객군에 대한 추가 본인인증 등을 통해 2차 피해를 사전적으로 차단하는 한편, 침해사고로 인한 부정사용 발생시 전액 선보상, 비밀번호 변경, 해외결제 차단, 카드 재발급 지원 등 조치를 취했다.