“금융권 개인정보 유출, 매출 3% 과징금” 법안에 글로벌도 우려

금융권에 개인정보 유출 사고가 생기면 매출액 기반 과징금을 부여하겠다는 '전자금융거래법 개정안' 발의로 글로벌 금융·핀테크 업계가 촉각을 곤두세우고 있다.

최근 코트라(KOTRA) 산하 외국인 투자기업 지원 기관인 외국인투자옴부즈만은 이 법안에 대해 매출액 기반 과징금 체계를 리스크로 평가했다. 외국인투자옴부즈만은 “과징금 체계가 매출액 비례 방식으로 전환되면서 매출 규모가 큰 외국계 금융회사일수록 부담이 커질 가능성이 있다”고 평가했다. 이어 “EU GDPR과 한국 개인정보보호법 등 주요 법령에서 채택된 매출액 기반 과징금 모델과 유사한 구조로 평가될 여지가 있다”고 분석했다.

글로벌 빅테크와 금융사들이 부담을 느껴온 GDPR식 규제 체계가 한국 금융권으로 확산되는 흐름을 우려하고 있는 것이다.

김용만 더불어민주당 의원은 지난 4월 전자금융거래정보 유출 사고에 대한 책임과 제재를 강화하는 전자금융거래법 일부개정법률안을 대표 발의했다. 개정안은 금융사 CISO가 내부 보안 관리체계를 직접 관리하도록 책임을 부여했다. 평소 보안 관리체계를 제대로 운영했는지도 제재 판단 기준으로 보겠다는 의미다.

보안조치를 제대로 이행하지 않아 사고가 발생하면 금융위원회가 매출액의 최대 3% 수준의 과징금을 부과할 수 있다. 매출액 산정이 어려우면 최대 50억원 이하 과징금을 부과할 수 있고, 5000만원 이하 과태료와 최대 6개월 업무정지 조치도 가능하다.

외국인투자옴부즈만은 이번 법안을 기업 부담이 큰 규제로 평가했다. 실제 사고 발생 시 과징금 규모가 크게 늘어날 수 있는 데다, 향후 금융당국이 마련할 세부 보안 기준에 맞춰 추가 시스템 구축 부담도 커질 수 있다는 이유다.

외국인투자옴부즈만은 글로벌 본사의 보안 정책과 한국 금융당국의 세부 기준 간 충돌 가능성도 우려했다. 외국계 금융회사와 핀테크 기업들은 앞으로 글로벌 본사 기준 외에도 한국 금융당국이 요구하는 별도 보안 체계도 맞춰야 할 수 있다는 의미다.

금융업계 관계자는 “보안을 아무리 강화해도 해킹을 100% 막는 것은 현실적으로 어렵다”며 “문제는 사고 이후 금융당국이 어느 수준까지를 '충분한 보안조치'로 볼지 불확실하다는 점”이라고 말했다. 이어 “외국계 금융사들은 한국만을 위한 별도 보안체계를 추가로 갖춰야 하는 부담도 생길 수 있다”고 했다.

박두호 기자 walnut_park@etnews.com