전금·여전·신용정보법 위규사항 검사의견서 발송

경영개입 배제…IT·내부통제 수시검사 내용 집중

규정상 수시검사 후 152일 내 통보…"속도 낸다"

금융감독원이 롯데카드 사이버 사고 수시검사를 두 달 만에 마친 뒤 검사의견서를 발송하고 회사 소명을 듣는 절차에 착수한 것으로 확인됐다. 검사 결과에서 발견된 위규 사항을 통보한 뒤 회사 측의 법리 의견을 청취하는 과정으로, 이 절차는 앞으로 여러 차례 반복될 예정이다. 금융권에서는 금감원이 올해 안에 롯데카드 관련 규율 안건을 제재심의위원회에 부의하기는 어려울 것으로 보고 있다.

11일 금융권에 따르면 금감원은 지난달 말 롯데카드 사이버 사고 수시검사를 종료하고 1차 검사의견서를 발송했다. 금감원이 롯데카드에 통보한 1차 의견서 제출 기한은 전날까지였던 것으로 알려졌으나 강제성은 크지 않다. 롯데카드 측은 법리 검토가 필요해 검사 시점으로부터 열흘 남짓한 기간(지난달 말~전날) 안에 답변을 제출하기 어렵다는 입장으로 전해졌다.

금감원 검사의견서 내용은 비공개 사항이다. 금융기관 검사 및 제재에 관한 규정' 제33조에 따라 외부 공개가 금지돼 있기 때문이다. 다만 금융권 복수의 관계자에 따르면, 롯데카드의 웹로직 관리 등 정보기술(IT)·정보보호 체계 관련 검사 과정에서 확인된 법리상 위규 사항을 중심으로 기재된 것으로 알려졌다. 롯데카드 최고경영자(CEO) 사임을 비롯한 조직 개편, 전체 IT 예산 대비 정보보호 예산 비중 조정 등 경영 판단 사안에는 개입하지 않은 것으로 전해졌다.

통상 금감원은 검사의견서에 '법 A를 위반해 규정상 의무행위인 B를 이행하지 않았다'는 식의 내용을 명시한 뒤 피검기관(롯데카드)의 답신을 받아 재검토 후 추가 검사의견서를 다시 보내는 절차를 반복한다. 이번 수시검사에서는 롯데카드가 전자금융거래법(전금법), 여신전문금융업법(여전법), 신용정보법을 모두 위반한 사실이 확인된 만큼 해당 법률에 따른 위규 사항 일체가 통보된 것으로 보인다.

금감원에 따르면 수시검사 후 제재심 부의까지는 보통 '귀임보고→검사의견서 발송 및 (피검기관)의견청취→검사서 작성→조치안 및 검사서에 대한 자체 및 제재심의국 심사조정'의 단계를 거친다.

'금융기관 검사 및 제재에 관한 규정 시행세칙'에는 수시검사 종료 후 152일 이내 결과를 통보하도록 돼 있지만, 강행 규정은 아니다. 이 152일에는 피검기관의 소명 기간 등은 포함되지 않는다. 규정상으로는 검사 종료 시점으로부터 152일 뒤인 내년 4월 초까지 외부에 결과를 알릴 수 있으나, 실제 발표 시점은 더 늦어질 가능성도 있다.

금융당국은 제재 규정과 별개로 금융회사 사이버 사고가 사회적 문제로 부상한 점을 고려해 롯데카드 건을 최대한 신속히 마무리한다는 방침이다. 다만 SK텔레콤(50일 영업정지), KT 등 주요 기관 해킹 사례의 제재 수위를 염두에 두지 않고 전금법·여전법·신용정보법 조항과 과거 제재 사례를 중심으로 판단한다는 원칙을 세운 것으로 알려졌다. 전날부터 시작된 정기검사와 병행하지는 않을 계획이다.

금감원 관계자는 "제재 처리 관련 구체적 절차는 아직 정해지지 않았다"며 "전날부터 시작한 (롯데카드) 정기검사와 (수시검사를) 병합처리하기는 어려울 것 같다"고 말했다.

금융당국이 롯데카드에 내릴 수 있는 최고 수준의 제재는 영업정지 6개월(여전법), 과징금 50억원(신용정보법) 등이다. 이미 정보가 유출된 사실이 확인됐기 때문에 신용정보법 관련 제재는 불가피하다. 롯데카드는 신용정보법(과징금)보다는 여전법(영업정지) 제재 수위에 촉각을 곤두세운 것으로 전해졌다. 롯데카드 관계자는 "세 법 중 어느 위규 사항이 더 중요하고 예민하다고 말하기는 어렵다"며 "당국 제재 절차를 성실히 따를 것"이라고 밝혔다.

한편 롯데카드는 본부장 7명 중 4명을 교체하고 정보보호 조직을 CEO 직속 조직으로 격상하는 조직 개편을 단행했다. 조좌진 대표이사는 지난 9월18일 대국민사과 기자회견에서 "저와 임원진의 사임을 포함해 연말까지 시장에서 납득할 만한 수준의 인적 쇄신을 하겠다"고 말한 바 있다.





