과기정통부 등 범정부 정보보호 종합대책 합동브리핑
금융위 "롯데카드, 지배구조법상 최대 CEO 해임 가능"
"정보보호 공시 의무화…금융사는 비상장사 포함 논의"
![[서울=뉴시스] 추상철 기자 = 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에서 발언하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국가정보원 3차장, 배 부총리, 류제명 과학기술정보통신부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 2025.10.22. scchoo@newsis.com](https://img1.newsis.com/2025/10/22/NISI20251022_0021024890_web.jpg?rnd=20251022143437)
[서울=뉴시스] 추상철 기자 = 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에서 발언하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국가정보원 3차장, 배 부총리, 류제명 과학기술정보통신부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 2025.10.22. [email protected]
[서울=뉴시스]박은비 심지혜 기자 = 정부가 전방위적인 해킹 사고에 따른 국민 불안을 잠재우기 위한 대책 일환으로 기업 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하기로 했다.
최근 발생한 롯데카드 사태처럼 대규모 개인정보 유출 사고시 지난해 금융사 지배구조법 시행에 따라 최악의 경우 CEO 해임 요구도 가능하다는 게 정부측 설명이다.
신진창 금융위 사무처장은 22일 오후 범부처 정보보호 종합대책 합동브리핑에서 'KT와 SK텔레콤, 롯데카드 같이 전 국민적으로 해킹 피해가 확산된 경우 최고 수준으로 CEO를 해임하거나 이런 것까지도 생각하고 있는지' 확인하는 질문에 이같이 답변했다.
정부는 이날 종합대책에서 CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO) 권한을 대폭 강화하겠다고 발표했다.
신 사무처장은 "금융기관은 특수성이 있어서 규제도 일반 회사랑 달리 현재 강화돼 있는 게 있다"며 "금융사 지배구조법은 금융사 CEO, 정보보호책임자 등 임원들이 해야 할 일을 책무구조도에 작성하고, 평상시 정보 보호를 위해 어떤 권한과 책임을 갖고 있는지 설명한 뒤 금융위원회에 제출하게 돼있다"고 설명했다.
그러면서 "이 책무구조도가 지난해 7월부터 시행됐는데 올해 들어서 특정 카드회사의 정보 유출 사고가 있었다"며 "그 부분에 대해 금융감독원 검사가 진행 중에 있고 조만간 정리될 것"이라고 언급했다.
여기서 말하는 특정 카드사는 롯데카드다. 롯데카드는 온라인결제서버(WAS)가 해킹돼 약 297만명의 고객 정보가 새어나간 사실이 확인돼 대국민 사과에 나선 바 있다.
신 사무처장은 "지배구조법에 따르면 사안에 따라서는 CEO 해임까지도 이뤄지는 징계가 법적으로 가능하다"며 "구체적으로 CEO가 책임지게 되는 것인지, 정보보호책임자가 책임을 지게 되는지에 대해서는 구체적으로 검사 결과를 통해 어떤 책임이 있는지 보고 판단해 나갈 계획"이라고 강조했다.
이날 브리핑 내용을 종합하면 범정부 차원의 과태료·과징금 상향, 징벌적 과징금 도입 등 제재 강화는 현재 금융업계에 적용되는 법제도가 참고 기준이 될 것으로 보인다.
배 부총리는 "개인정보나 금융 관련 이슈에 있어서는 전체 매출의 3% 정도 과징금을 부과할 수 있는데 정보통신망법에서도 그 정도의 과징금을 부과할 수 있도록 정책연구가 진행 중"이라며 "영국에서 보면 정보보호 관련 이슈가 있을 때 관련 매출의 한 10% 정도를 부과하는 사례도 있다"고 말했다.
아울러 CEO 책임에 있어서도 "CEO가 보안 책임을 실제로 갖고 법적으로 책임질 수 있도록 법령상 명문화를 고민하고 있다"며 "CISO나 CPO 권한 강화 방안도 종합적으로 발표하겠다"고 시사했다.
한편 정부는 정보보호 공시 의무 기업을 현 666개사에서 2700여개로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해서 공개하는 제도도 도입한다. 공시 의무화 시행은 내년 상반기부터다.
신 사무처장은 "상장사 중심 공시 제도가 새로 도입되는데 금융사 대부분 상장돼 있지만 소형 금융사는 상장돼 있지 않다"며 "금융권은 특히 보안이 대국민 금융 서비스에 직결되는 만큼 금융 관련 회사에 있어서는 공시 대상을 비상장사까지 포함하는 법안을 발의할 예정"이라고 말했다.
정부는 상장사 정보보호 공시 의무 확대 관련 메타, 구글 등 해외 플랫폼 사업자에게도 동일하게 적용한다는 방침이다. 배 부총리는 "정보보호 의무 공시를 해외 플랫폼 사업자들도 당연히 해야 된다고 생각한다"며 "그래서 똑같이 지금 우리 국내 상장사뿐 아니라 해외 플랫폼 사업자들에게도 동일하게 적용할 수 있도록 하겠다"고 말했다.
◎공감언론 뉴시스 [email protected], [email protected]
최근 발생한 롯데카드 사태처럼 대규모 개인정보 유출 사고시 지난해 금융사 지배구조법 시행에 따라 최악의 경우 CEO 해임 요구도 가능하다는 게 정부측 설명이다.
신진창 금융위 사무처장은 22일 오후 범부처 정보보호 종합대책 합동브리핑에서 'KT와 SK텔레콤, 롯데카드 같이 전 국민적으로 해킹 피해가 확산된 경우 최고 수준으로 CEO를 해임하거나 이런 것까지도 생각하고 있는지' 확인하는 질문에 이같이 답변했다.
정부는 이날 종합대책에서 CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO) 권한을 대폭 강화하겠다고 발표했다.
신 사무처장은 "금융기관은 특수성이 있어서 규제도 일반 회사랑 달리 현재 강화돼 있는 게 있다"며 "금융사 지배구조법은 금융사 CEO, 정보보호책임자 등 임원들이 해야 할 일을 책무구조도에 작성하고, 평상시 정보 보호를 위해 어떤 권한과 책임을 갖고 있는지 설명한 뒤 금융위원회에 제출하게 돼있다"고 설명했다.
그러면서 "이 책무구조도가 지난해 7월부터 시행됐는데 올해 들어서 특정 카드회사의 정보 유출 사고가 있었다"며 "그 부분에 대해 금융감독원 검사가 진행 중에 있고 조만간 정리될 것"이라고 언급했다.
여기서 말하는 특정 카드사는 롯데카드다. 롯데카드는 온라인결제서버(WAS)가 해킹돼 약 297만명의 고객 정보가 새어나간 사실이 확인돼 대국민 사과에 나선 바 있다.
신 사무처장은 "지배구조법에 따르면 사안에 따라서는 CEO 해임까지도 이뤄지는 징계가 법적으로 가능하다"며 "구체적으로 CEO가 책임지게 되는 것인지, 정보보호책임자가 책임을 지게 되는지에 대해서는 구체적으로 검사 결과를 통해 어떤 책임이 있는지 보고 판단해 나갈 계획"이라고 강조했다.
배 부총리 "정보통신망법도 금융 수준 과징금 부과 연구 중"
배 부총리는 "개인정보나 금융 관련 이슈에 있어서는 전체 매출의 3% 정도 과징금을 부과할 수 있는데 정보통신망법에서도 그 정도의 과징금을 부과할 수 있도록 정책연구가 진행 중"이라며 "영국에서 보면 정보보호 관련 이슈가 있을 때 관련 매출의 한 10% 정도를 부과하는 사례도 있다"고 말했다.
아울러 CEO 책임에 있어서도 "CEO가 보안 책임을 실제로 갖고 법적으로 책임질 수 있도록 법령상 명문화를 고민하고 있다"며 "CISO나 CPO 권한 강화 방안도 종합적으로 발표하겠다"고 시사했다.
상장사 중심 정보보호 공시 의무화…"금융사는 비상장사까지 포함 논의"
신 사무처장은 "상장사 중심 공시 제도가 새로 도입되는데 금융사 대부분 상장돼 있지만 소형 금융사는 상장돼 있지 않다"며 "금융권은 특히 보안이 대국민 금융 서비스에 직결되는 만큼 금융 관련 회사에 있어서는 공시 대상을 비상장사까지 포함하는 법안을 발의할 예정"이라고 말했다.
정부는 상장사 정보보호 공시 의무 확대 관련 메타, 구글 등 해외 플랫폼 사업자에게도 동일하게 적용한다는 방침이다. 배 부총리는 "정보보호 의무 공시를 해외 플랫폼 사업자들도 당연히 해야 된다고 생각한다"며 "그래서 똑같이 지금 우리 국내 상장사뿐 아니라 해외 플랫폼 사업자들에게도 동일하게 적용할 수 있도록 하겠다"고 말했다.
◎공감언론 뉴시스 [email protected], [email protected]
