개인정보 유출 사고를 낸 카드사들에 대한 금융당국의 제재가 본격화될 전망이다. 금융감독원이 롯데카드에 대해 영업정지 4.5개월과 과징금 약 50억원을 포함한 중징계안을 사전통지하면서 우리카드와 신한카드로 제재 범위가 확대될 가능성도 커졌다.

이번 사안은 개별 사고라기보다 반복되는 문제의 연장선이라는 점에서 의미가 있다. 롯데카드에서 약 297만명의 정보가 유출된 데 이어 우리카드와 신한카드에서도 각각 수만~수십만건의 개인정보 유출이 확인됐다고 한다. 해킹과 내부 유출이 동시에 발생했다는 점은 외부 공격 대응뿐 아니라 내부 통제 체계 역시 충분히 작동하지 않았음을 보여준 반갑지 않은 사례다.

물론 유사한 문제는 과거에도 있었다. 2014년 카드 3사에서 1억건이 넘는 개인정보가 유출된 이후 금융권 전반에 보안 규제가 강화됐지만, 약 10년이 지난 현재까지 사고는 형태만 달리해 반복되고 있다. 업계 안팎에서는 제도 보완에도 불구하고 현장 관리 체계의 실효성이 기대에 미치지 못하고 있다는 지적이 팽배하다.

금융당국은 신용정보법과 여신전문금융업법 등을 기준으로 위반 여부를 판단하고 있고, 제재심의위원회를 거쳐 최종 수위를 확정짓게 된다. 금융당국은 금융회사에 있어 고객 정보 보호는 가장 기본적인 책무라고 한다. 관련 법령에서도 정보관리 의무 위반에 대해서는 엄격한 제재가 적용되야한다.

이런 가운데 카드업계 일각에선 영업정지 조치가 현실화될 경우 신규 회원 모집 제한 등 영업 전반에 영향이 불가피하다는 볼멘 소리가 나온다. 이번 사안의 핵심은 단기 실적 영향보다 장기적인 신뢰 문제에 가깝다. 개인정보 유출이 반복될 경우 금융회사에 대한 소비자 신뢰 기반 자체가 흔들릴 수 있기 때문이다.

그나마 다행인 것은 카드사들이 정보보호 투자 확대와 조직 개편 등 대응에 나서고 있다는 점이다. 그러나 단순한 비용 확대 중심의 대응만으로는 안된다. 이같은 방법은 개인정보 유출 차단에 한계가 있기 때문이다. 정보 보호는 기술 투자뿐 아니라 내부 통제, 인력 관리, 책임 구조가 함께 작동해야 한다.

결국 이번 제재는 개별 기업에 대한 처분을 넘어 금융권 전반의 관리 체계를 점검하는 계기로 거듭날 필요가 있다. 보안을 비용이 아닌 기본 인프라로 인식하는 전환과 함께, 실제 현장에서 작동하는 통제 구조를 마련하지 않는다면 유사 사고의 반복 가능성은 여전히 상존할 수 있기 때문이다. 소 잃고 외양간 고치는 붏상사는 두 번 다시 일어나지 않아야한다.