이 기사는 2025년 12월 01일 17:20 thebell 에 표출된 기사입니다.

이찬진 금융감독원장(사진)이 롯데카드 해킹 사태와 관련해 엄정 제재 방침을 재차 밝혔다. 정보보안 투자 수준이 기준에 크게 미치지 못했다는 지적이다. 금감원은 자본시장법 수준의 금융소비자보호법 개정을 통해 소비자보호를 강화한다는 방침이다.

홍콩H지수 ELS(주가연계증권) 불완전판매와 관련해 판매 은행들의 사후구제 노력을 제재 판단에 반영하는 것과 달리 카드사 해킹 사고에 대해서는 더욱 엄격한 잣대를 적용할 것이란 입장이다. 금전적 손실이 구체적으로 산정 가능한 ELS 피해와 달리 개인정보 유출로 인한 피해는 범위가 넓고 영향이 장기화될 수 있어 사후 조치가 제재 감경의 근거가 되기 어렵다는 판단에서다.

◇"사후 보완조치, 감경 사유 아냐"…해킹제재 강경기조

이 원장은 1일 서울 여의도 금감원에서 열린 기자간담회에서 롯데카드 해킹 조사 현황에 대해 "결과에 따라 엄정한 제재절차가 진행될 것"이라고 밝혔다.



해킹 사고와 금융상품 판매 사고를 동일선상에서 다룰 수 없다는 점도 강조했다. 홍콩H지수 ELS처럼 실제 금전적 피해가 발생한 경우 판매사가 적극적으로 사후구제에 나서면 이를 제재 수위 결정 시 감안할 여지가 있지만 보안 사고는 본질이 다르다는 이유에서다.

시스템 보안사고는 형식적 수준의 위자료를 지급하는 것만으로 해결되는 문제가 아니라는 게 이 원장의 입장이다. 그는 "개인의 기밀한 금융정보가 노출됐을 때 피해 수준은 사람마다 다르다"라며 "경제적 피해가 발생하지 않더라도 신변상 위협까지 느끼는 분들이 많아 사후 보완 조치를 제재에 반영하는 것은 적절하지 않다"라고 선을 그었다.

금융권뿐 아니라 유통과 가상자산 시장에서 잇따라 발생한 해킹사태에 관해서도 보안 수준이 기업규모에 비해 취약했다고 지적했다. 앞서 롯데카드에서는 297만명, 쿠팡에서 3370만명 개인정보가 유출됐다. 국내 최대 가상자산 거래소 업비트에서도 445억원 규모의 해킹 사태가 불거졌다.

이 원장은 "최근 사고들을 보면 우리나라 보안시스템에 대한 투자는 형편없는 수준"이라며 "(보안에의 투자를) 원가에 반영해야 하는데 이게 한 번 뚫리면 회사 존립 자체가 흔들릴 수 있다는 점을 제대로 인식하지 못한 듯하다"라고 비판했다.

금융회사와 빅테크의 보안 투자를 자율에 맡겨둘 수 없다는 점도 분명히 했다. 법 개정 가능성을 시사하면서다. 이 원장은 "현행 금융소비자보호법에는 시스템 보안과 소비자보호 관련 규정이 상대적으로 부족하다"라며 "자본시장법에 준하는 정도의 규제와 제재 체계를 법률 개정을 통해 전면 도입할 것"이라고 밝혔다.

단순 가이드라인이 아니라 입법을 통해 강제력 있는 규제 체계를 구축하겠다는 메시지다.

지난주 발생한 업비트 해킹 사고에도 금감원은 즉각 조사에 착수했다. 이 원장은 "가상자산 이용자 보호법에 일부 한계가 있다"라며 "다만 가상자산의 가장 큰 생명이 시스템 보안에의 신뢰인데 이 부분에 위협이 발생한 만큼 그냥 넘어갈 성격은 아니다"라고 강조했다.

금감원은 업비트 해킹 사태를 계기로 가상자산 2단계 입법에서 보안 규정을 강화하는 방안을 검토할 방침이다.

◇"빅테크 금융진출, 규제 공백 존재…가상자산 2단계 입법서 보완"

최근 네이버파이낸셜과 두나무의 포괄적 주식교환 관련해 빅테크가 금융 및 가상자산 영역으로 본격 진출하는 흐름에 대해서도 당국의 문제의식을 드러냈다.

빅테크가 금가분리(금융과 가상자산 분리) 원칙 바깥에 있기 때문에 상대적으로 진입규제가 약하다는 점을 지적했다. 이 원장은 "금융과 가상자산, 심지어 스테이블코인까지 빅테크가 진출하려 하고 있다"라며 "별다른 규제장치 없이 진입하는 것이 금융사들에 어떤 영향을 미칠 지 주목하고 있다"라고 밝혔다.

금감원은 내년 2~3월 제출될 예정인 증권신고서에 우려 사항을 구체적으로 기술하도록 요구할 방침이다. 또 현행 제도가 갖춘 안전장치가 충분한지 및 2단계 입법에서 어떤 보완이 필요한지 논의할 계획이다.