롯데카드가 지난해 발생한 대규모 개인정보 유출 사고와 관련해 금융당국 제재심을 앞두면서 최종 제재 수위를 둘러싼 금융권의 시선이 쏠리고 있다. 신용평가업계에서는 영업정지 4.5개월과 최대 50억원 과징금 가능성을 거론하고 있지만, 카드업계 안팎에서는 외부 해킹 사고에 영업정지 수준의 제재가 내려진 전례가 드물다는 점에서 최종 수위가 조정될 가능성도 함께 거론된다. 사진은 서울 종로구 롯데카드 본사 입주 오피스 빌딩 모습. /사진=뉴시스

롯데카드가 지난해 발생한 대규모 개인정보 유출 사고와 관련해 금융당국 제재심을 앞두면서 최종 제재 수위를 둘러싼 금융권의 시선이 쏠리고 있다. 신용평가업계에서는 영업정지 4.5개월과 최대 50억원 과징금 가능성을 거론하고 있지만, 카드업계 안팎에서는 외부 해킹 사고에 영업정지 수준의 제재가 내려진 전례가 드물다는 점에서 최종 수위가 조정될 가능성도 함께 거론된다.

13일 관련업계에 따르면 금융감독원은 오는 16일 개최되는 제재심의위원회에서 롯데카드 정보유출 사고와 관련한 제재 안건을 상정하고 징계 수위를 논의할 예정이다.


금융권에서는 금감원이 롯데카드에 영업정지 4.5개월과 과징금 50억원 수준의 제재안을 사전 통지했다. 다만 금감원 측은 "사전 통지는 이뤄졌지만 확정된 사안은 아니다"라고 밝혔다. 최종 제재는 롯데카드 측 소명 절차를 거친 뒤 제재심의위원회 심의를 통해 논의되고, 금융위원회 의결을 거쳐 확정될 예정이다.

'최대 수준 제재' 거론…297만명 유출 영향

이번 사안의 핵심은 제재의 강도와 성격이다. 롯데카드는 2025년 8월 온라인 간편결제 시스템 해킹으로 약 297만명의 개인신용정보가 유출됐고, 이 가운데 약 45만명의 주민등록번호도 함께 유출된 것으로 파악됐다.

개인정보보호위원회는 지난 3월 개인정보보호법 위반과 관련해 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과했다. 개인정보보호법상 과징금 상한이 '관련 매출액의 3%'로 설정돼 있다는 점을 고려하면, 이번 과징금 규모는 예상보다 낮은 수준이라는 평가가 나왔다.


금융당국은 별도로 신용정보법과 여신전문금융업법 위반 여부를 중심으로 추가 제재를 검토했다. 특히 개인정보 유출 규모와 보안 관리 미흡, 과거 사고 이력 등을 종합적으로 고려해 제재 수위를 정할 것으로 전해졌다.

신용평가업계는 이번 제재안이 사실상 최대 수준에 근접할 수 있다고 보고 있다. NICE신용평가는 2014년 롯데카드 고객정보 유출 당시 3개월 영업정지가 부과된 전례를 들어, 이번에는 반복 위반이 반영돼 약 50% 가중된 4.5개월 수준이 거론된다고 분석했다.

한국기업평가 역시 "2014년 카드사 고객정보 유출 사고 당시 3개월 영업정지를 부과받은 바 있으며, 이번엔 반복 위반 등이 반영돼 영업정지 기간이 50% 가중 적용된 것으로 보인다"고 밝혔다.

"내부 유출과 해킹은 별개"…업계 시각 엇갈려

반면 카드업계에서는 2014년 사고와 이번 사고를 같은 선상에서 보기 어렵다는 의견도 적지 않다. 당시에는 내부 직원에 의한 정보 반출이었지만, 이번에는 외부 해킹에 따른 침입 사고라는 점에서 사안의 성격이 다르다는 것이다.

한 금융권 관계자는 "2014년은 롯데카드 내부 직원이 USB로 정보를 빼낸 사건이었고 지난해는 외부 해킹으로 인한 침입 사고"라며 "두 사안을 동일 선상에서 보고 가중 처벌하는 것은 다소 과도하게 해석된 측면이 있다"고 말했다.

이어 "과거에도 해킹 사고의 경우 기관경고나 주의 수준의 조치가 일반적이었다"고 덧붙였다.

핵심은 영업정지…실적 직격탄 가능성

시장의 관심은 과징금보다 영업정지의 실질적 충격에 쏠린다. 영업정지가 현실화될 경우 신규 회원 모집과 카드 발급, 카드론·현금서비스 등 대출성 상품 취급이 제한되면서 영업 기반 자체가 흔들릴 수 있기 때문이다.

NICE신용평가에 따르면 롯데카드는 2014년 영업정지 당시 실질회원수가 803만명에서 720만명으로 축소되고 총카드 이용실적 점유율도 8.1%에서 7.7%로 하락했다. 단순 제재를 넘어 영업기반 자체가 흔들릴 수 있다는 의미다.

롯데카드의 현재 실적 체력도 녹록지 않다. 롯데카드의 총자산순이익률(ROA·기업이 보유한 자산으로 얼마나 효율적으로 이익을 내는지를 보여주는 지표)은 2023년 1.7%에서 2024년 0.6%, 2025년 0.3%로 하락했다. 개인정보 유출 관련 카드 재발급과 고객보상 비용, 가맹점수수료율 인하, 대손비용 증가 등이 수익성을 끌어내린 영향이다. 여기에 영업정지까지 더해질 경우 신규 영업 제한에 따른 실적 반등 지연 가능성이 커질 수 있다는 우려가 나온다.

김상봉 한성대학교 경제학과 교수는 "과징금보다 중요한 건 영업정지 여부"라며 "영업정지는 신규 회원 유입을 막기 때문에 카드사 입장에서는 실질적인 매출 감소로 이어질 수밖에 없다"고 말했다. 이어 "카드사 매출 구조상 신규 유입 비중을 감안하면 영업정지 기간 동안 수백억원 규모의 매출 공백이 발생할 수 있다"며 "금융회사에 상당한 타격이 될 수 있는 조치"라고 강조했다.

또 김 교수는 "더 큰 규모의 개인정보 유출 사례였던 쿠팡도 영업정지 조치는 받지 않았다"며 "이와 비교하면 영업정지 적용 여부는 신중하게 판단할 필요가 있다"고 덧붙였다.

"소명 절차 변수"…제재 수위 조정 가능성

롯데카드는 일단 신중한 태도를 유지하고 있다. 롯데카드 관계자는 "금융당국으로부터 사전 통보가 이뤄진 것은 사실이지만 이는 의견 수렴을 위한 행정 절차일 뿐 최종 제재가 확정된 것은 아니다"라며 "해킹 사고 이후 현재까지 추가적인 피해는 확인되지 않은 상황"이라고 말했다.

금융권 관계자도 "현재 제재안은 사전 통지 단계로, 제재심 과정에서 회사 소명과 여러 요소가 반영되면 수위가 조정될 가능성도 있다"며 "외부 해킹이라는 점과 과거 사례를 어떻게 반영할지가 관건"이라고 말했다.