금융감독원이 지난해 하반기 해킹사고로 297만 명의 회원 개인정보가 유출된 롯데카드에 대해 사전 통지한 대로 영업정지 4.5개월과 함께 조좌진 전 대표에 대한 중징계도 의결한 것으로 확인됐다.

30일 금융당국에 따르면 금감원은 이날 오전 제재심을 열고 롯데카드 해킹 사고 최종 책임자인 조 전 대표에 대해 '직무정지'에 해당하는 중징계를 의결했다.

금융사 임원 제재 수위는 △주의 △주의적 경고 △문책 경고 △직무정지 △해임·면직 권고 등 총 5단계며, '문책 경고'부터 중징계로 본다. 문책 경고 이상 시 연임을 비롯해 금융사 취업이 3~5년간 제한된다.

당초 사전 통지안에선 조 전 대표에 대한 징계는 '면직 권고'였으나, 제재 수위를 한단계 낮춘 것으로 파악된다.

금감원 고위 관계자는 "개인의 책임보다는 회사 정책 차원의 문제가 크다고 판단했다"며 "제재 원안이 무겁게 돼 있어서 한 단계 감경했다"고 말했다.

이어 "개인적 업무를 해태한 것인지 회사 전체적으로 정보보호 예산과 인력 투자를 줄여서인지를 두고 공방이 있었다"며 "제재심에서는 회사 차원의 요인이 크다고 판단해서 감경하게 됐다"고 했다.

롯데카드에 대해서는 영업정지 4.5개월, 과징금 50억 원 등을 포함한 중징계안을 의결했다. 금감원은 앞서 영업정지 4.5개월, 과징금 50억 원 수준의 중징계를 사전 통지한 바 있는데, 원안 그대로 제재 수위를 확정한 것이다.

금감원은 지난해 9월 롯데카드에서 해킹 사고가 발생한 이후 약 두 달간 수시검사를 진행했다. 검사 과정에서 다수의 위반 사항이 발견됐으며, 금감원은 특히 사모펀드(MBK파트너스) 인수 이후 타 금융사 대비 관리가 미흡한 부분을 크게 문제 삼은 것으로 전해진다.

특히 수시검사가 끝난 직후부터 곧바로 정기검사에도 착수했다. 정기검사에선 롯데카드의 영업 전반과 함께 IT·정보보호 업무, 경영실태 등에 대해 전방위적으로 들여다본 것으로 전해진다. 이번 처분은 수시·정기검사에서 발견된 위법 사항을 모두 반영한 것이다.

롯데카드는 지난 2014년에도 고객정보 유출 사고로 영업정지 3개월을 부과받았는데, 반복 위반 등이 반영돼 영업정지 기간이 50% 가중 적용된 것으로 보인다. 신용평가사들도 과거 유출 사고로 이번 제재심에선 '반복 위반'이 반영될 수 있다고 관측한 바 있다.

당초 이번 사안은 위반 행위가 명확해 '쟁점'은 많지 않았던 것으로 알려졌으나, 일부 사안에 법리 적용에서 다툼 여지가 있는 것으로 전해진다. 금감원이 지난 16일에도 제재심을 열고 롯데카드 안건을 논의했으나 결론 내리지 못하고, 이날 한 차례 더 개최한 배경이다.

롯데카드 측은 제재심에서 해킹 사고 이후 대규모 인적 쇄신, 고객 중심 사업 조직으로 재편, 정보보호실을 대표이사 직속 정보보호센터로 격상하는 등 2차 피해 예방 노력을 했고, 해킹 사고로 인한 부정 사용도 없었던 점을 강조한 것으로 알려졌다.

2014년 당시는 협력업체 직원에 의한 내부통제 사고였다면 이번에는 외부 해킹에 따른 유출로 성격이 다르다는 점도 피력한 것으로 보인다.

롯데카드 측은 제재심 직후 임원급을 대상으로 긴급 대책 회의를 연 것으로 파악됐다.

롯데카드 관계자는 "지난해 발생한 해킹사고는 2014년 직원에 의한 정보유출과는 사안이 다르다"라며 "해킹 사고에 대해 영업정지를 부과하는 것은 전례 없는 수준의 제재"라고 말했다.

이어 "금융위원회 의결 등 후속 절차가 남아있는 만큼 가중처벌에 대한 이견을 소명하고 사후 대응 노력 및 2차 피해가 발생하지 않았다는 점 등을 충분히 설명하겠다"고 덧붙였다.

한편 금감원 제재심은 금감원장의 자문기구로 법적 효력이 없어 추가 논의 후 제재 수위가 결정되면, 추후 금융위원회 정례회의에서 확정된다. 이에 금융위 정례회의 단계에서 제재 수위가 소폭 감경될 여지도 있다.

doyeop@news1.kr