금감원, 롯데카드 제재심 결론 못내…수위·확정 시점 안갯속

홍지인 기자 2026. 4. 17. 10:26
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

롯데카드가 대규모 개인정보 유출 사고와 관련해 금융감독원 제재심의위원회에 올랐지만, 제재 수위 결론에 이르지 못해 추가 논의로 넘어갔다. 제재 강도뿐 아니라 최종 확정 시점까지 불확실성이 커지면서 금융권의 관심이 집중되고 있다. 사진은 서울 종로구 롯데카드 본사. /사진=뉴시

롯데카드가 대규모 개인정보 유출 사고와 관련해 금융감독원 제재심의위원회에 올랐지만, 제재 수위 결론에 이르지 못해 추가 논의로 넘어갔다. 제재 강도뿐 아니라 최종 확정 시점까지 불확실성이 커지면서 금융권의 관심이 집중되고 있다. 사진은 서울 종로구 롯데카드 본사. /사진=뉴시
롯데카드가 대규모 개인정보 유출 사고와 관련해 금융감독원 제재심의위원회에 올랐지만 제재 수위 결정이 나오지 않았다. 제재 강도뿐 아니라 최종 확정 시점까지 불확실성이 커졌다.

17일 관련업계에 따르면 금융감독원은 전날 제재심을 열고 롯데카드 정보유출 사고 관련 안건을 심의했다. 롯데카드 안건은 오후 늦게 상정돼 오후 5시30분쯤부터 약 3시간 가까이 논의됐으며, 이날 제재심에는 조좌진 전 대표와 정상호 대표가 모두 참석한 것으로 전해졌다. 다만 제재 수위 결론에 이르지 못해 추후 논의를 이어가기로 했다.

금감원 관계자는 "결론을 내리지 못해 추가 논의를 진행하기로 했다"며 "구체적인 논의 내용은 공개하기 어렵다"고 말했다.

당초 이번 사안은 위반 사실이 비교적 명확해 큰 쟁점 없이 제재 수위가 정해질 것이라는 관측이 있었지만 일부 사안에서 법리 적용을 둘러싼 이견이 제기된 것으로 전해진다. 금융권 관계자는 "일부 사안에서 법리 적용을 두고 의견이 갈리면서 제재심 내부에서도 추가 논의가 필요하다는 판단이 있었던 것으로 안다"고 말했다. 이에 따라 해당 안건은 추후 한 차례 더 논의될 예정이다.

추가 논의 시점은 불확실하다. 금융당국 내부에서도 구체적인 일정은 확정되지 않은 상태다. 금감원 관계자는 "제재심은 통상 한 달에 두 차례 열리는 만큼 다음 회의에서 바로 다뤄질 수도 있고, 검토할 내용이 많으면 그 이후로 넘어갈 수도 있다"며 "현재로서는 구체적인 일정을 단정하기는 어렵다"고 말했다.

제재심은 의결기구가 아닌 금융감독원장 자문기구로 심의 결과만으로 제재가 확정되지 않는다. 제재심에서 논의된 내용은 빠르면 하루, 길게는 3~4일에 걸쳐 정리된 뒤 금융감독원장에게 보고되고 원장 결재를 거쳐야 비로소 확정된다.

확정 이후에도 조치 수준에 따라 절차가 갈린다. 중징계의 경우 금융위원회 정례회의 안건으로 상정돼 추가 심의를 거치며, 경징계는 금감원 단계에서 마무리된다.

추가 논의 일정까지 불확실한 현재 상황을 감안하면 최종 제재 결과 발표까지는 상당한 시일이 소요될 전망이다. 경징계일 경우 내부 절차 완료 후 약 3~4주 뒤 공시되며, 중징계로 넘어갈 경우 금융위원회 심의까지 포함해 수 주 이상 시간이 더 필요하다.



'최대 수준 제재' 거론…297만명 유출 영향


이번 사안의 핵심은 제재 강도다. 롯데카드는 2025년 8월 온라인 간편결제 시스템 해킹으로 약 297만명의 개인신용정보가 유출됐고 이 가운데 약 45만명의 주민등록번호도 포함된 것으로 파악됐다.

앞서 개인정보보호위원회는 개인정보보호법 위반과 관련해 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과했다. 금융당국은 별도로 신용정보법 및 여신전문금융업법 위반 여부를 중심으로 추가 제재를 검토해왔다.

신용평가업계에서는 이번 제재가 사실상 최대 수준에 근접할 가능성을 제기한다. 과거 2014년 고객정보 유출 당시 3개월 영업정지 사례에 반복 위반 요소가 반영될 경우 약 4.5개월 수준까지 확대될 수 있다는 분석이다.

반면 카드업계에서는 이번 사안을 과거와 동일선상에서 보기 어렵다는 반론도 나온다. 2014년 사고는 내부 직원의 정보 반출이었지만 이번에는 외부 해킹에 따른 침입 사고라는 점에서 성격이 다르다는 주장이다.

업계에서는 과거 해킹 사고의 경우 기관경고나 주의 수준에 그친 사례가 많았다는 점을 들어 영업정지까지 이어지는 것은 과도하다는 시각도 존재한다.


핵심은 '영업정지'…실적 충격 불가피


시장에서는 과징금보다 영업정지 여부에 더 주목하고 있다. 영업정지가 현실화될 경우 신규 회원 모집과 카드 발급, 카드론 등 주요 수익사업이 제한되면서 실적에 직접적인 타격이 불가피하기 때문이다.

실제 2014년 영업정지 당시 롯데카드는 회원 수와 이용실적 점유율이 모두 하락한 바 있다. 현재도 수익성이 둔화된 상황에서 추가 제재가 겹칠 경우 실적 반등이 지연될 수 있다는 우려가 제기된다.

다만 통상 제재심 과정에서 소명 내용과 정황이 반영되면서 최종 제재 수위가 사전 통지 수준과 달라지는 사례도 적지 않다. 특히 외부 해킹 사건의 경우 제재 강도가 일부 조정된 전례도 있어 영업정지 기간이 축소될 가능성도 배제할 수 없다는 관측이 나온다. 실제로 최근 유사한 해킹 사고를 겪은 SK텔레콤은 약 50일 수준의 영업정지 처분을 받은 바 있다.

금융권 관계자는 "현재 제재안은 사전 통지 단계로 제재심 과정에서 회사 소명과 여러 요소가 반영되면 수위가 조정될 가능성도 있다"며 "외부 해킹이라는 점과 과거 사례를 어떻게 반영할지가 관건"이라고 말했다.

홍지인 기자 helena@sidae.com

Copyright © 동행미디어 시대 & sidae.com, 무단 전재 및 재배포 금지

동행미디어 시대에서 직접 확인하세요. 해당 언론사로 이동합니다.