금융위·금감원, '디지털 금융보안법(가칭)' 초안 마련, 비금융 플랫폼까지 금융사급 제재쿠팡·업비트·롯데카드 사고로 감독 사각지대 드러나 … 李 대통령 "징벌적 배상 확대" 지시과징금·업무정지·임원 문책까지 '결과 책임' 부과 … 금융위·금감원 이원 체계로 집행 구체화일각선 개인정보위·과기부 영역 침범 … 규제 중복·갈등 불가피 지적도
  • ▲ ⓒ뉴데일리
    ▲ ⓒ뉴데일리
    정부가 쿠팡 개인정보 유출과 업비트 해킹 등 연이은 대형 사고를 계기로 간편결제·PG·가상자산 거래소 같은 비(非)금융사까지 금융사 수준의 보안 책임을 묻는 별도 법제도 마련에 나섰다. 사실상 금융 규제의 적용 대상을 전통 금융업권 밖으로 확대하는 첫 시도다.

    3일 금융당국에 따르면 금융위원회는 '디지털 금융보안법(가칭)' 제정을 목표로 초안 세부 설계에 착수했다. 단순 전자금융 기술 규제가 아니라 금융정책·감독 체계·제재 구조를 통합해 전면 개편하는 종합 금융보안 특별법에 가깝다. 

    법안 설계는 금융위 디지털금융정책관 산하 부서(디지털금융총괄·금융안전·가상자산과 등)가 담당하며, 금감원은 감독·검사·제재 집행을 맡는 이원 체계로 운영될 계획이다. 기존의 느슨한 가이드라인 수준을 넘어 실제 영업 정지·인가 취소·과징금·임원 해임 권고까지 가능한 강제 제재 권한을 명문화하는 방향이다.

    핵심은 '결과 책임(result liability)' 강화다. 보안 사고가 발생하면 기술적 과실을 넘어 경영진의 감독 의무를 직접 묻는다. 최고경영자(CEO), 정보보호책임자(CISO) 등이 직접 징계·제재 대상이 될 수 있다. 금융사처럼 보안 예산·전담 조직·사고 이력 등을 의무 공시하는 투명성 제도도 도입된다. 사고 은폐나 지연 보고가 적발되면 별도의 2차 제재가 추가되는 구조다.

    금융당국 고위 관계자는 "비금융 플랫폼도 사실상 금융 시스템의 일부가 됐다"며 "소비자 자산·정보를 다루는 이상 금융사와 동일한 책임이 부과돼야 한다"고 강조했다.

    최근 일련의 사고는 정부가 칼을 빼들게 만든 직접적인 방아쇠였다. 쿠팡에서는 약 3400만 건의 결제 정보가 노출됐고, 업비트는 445억원 규모의 핫월렛 해킹을 허용했다. 롯데카드는 297만명 정보 유출로 대규모 카드 재발급 사태를 초래했다. 사고가 반복될 때마다 '보안 소홀'로 귀결된 기존 체계의 한계가 분명해졌다는 지적이다.

    이에 이재명 대통령은 "개인정보 유출에는 징벌적 손해배상을 확대해야 한다"며 기업 책임을 대폭 강화할 것을 요구했다. 이찬진 금감원장 역시 최근 기자간담회에서 "우리나라 보안 투자는 다른 나라에 비해 터무니없이 낮은 수준. 자본시장법에 준하는 제재를 도입해야 한다"고 직격탄을 날렸다. 사실상 금융사급 처벌 체계를 비금융사까지 확대하겠다는 정부의 강경 메시지다.
  • ▲ ⓒ뉴데일리
    ▲ ⓒ뉴데일리
    해외에서도 비금융 서비스에 대한 규제 강화 흐름이 뚜렷하다. 유럽연합(EU)은 2023년부터 'Markets in Crypto‑Assets Regulation(MiCAR)'을 도입해 가상자산 거래소·지갑사업자 등 전통 금융사가 아닌 업체에도 영업제한·과징금·허가 취소를 부과할 수 있는 감독 체계를 마련했다. 영국·싱가포르 등 주요국도 디지털 자산 사업자에 대한 '금융사급 제재'를 확대하고 있다. 정부의 이번 법안도 국제 규제 수준과의 정합성을 맞추는 조치로 풀이된다.

    금융위와 금감원은 법안 문구 및 감독 체계 설계 초안에 사실상 마무리 단계에 놓인 것으로 전해진다. 관계 부처 협의와 이해관계 조율을 거쳐 이르면 연말 이전 입법을 목표로 한다는 게 내부 소식통의 설명이다. 법안이 통과되면 2026년부터는 쿠팡·토스·네이버페이·카카오페이·업비트 등 대형 플랫폼은 물론, 중소형 PG·간편결제사까지 모두 금융사와 동일한 보안·감독 체계 아래 놓이게 된다.

    다만, 금융당국의 규제 확장에 대한 우려도 만만치 않다. 현행 구조상 개인정보 보호와 침해 대응은 개인정보보호위원회(개인정보위)가 주무 부처이고, 기술적 보안 기준은 과학기술정보통신부 소관이다. 그동안 비금융 플랫폼 사고는 개인정보위 조치(과징금·과태료 등)가 중심이었고, 금융당국은 직접 권한이 없었다.

    금융위·금감원의 규제 권한이 개인정보위 영역을 침범할 수 있다는 지적이 나오는 대목이다. 규제 중복은 물론, 세 부처 간 충돌 가능성도 제기된다. 대표적으로 PG·전자지급·마켓 플랫폼은 금융사이면서 동시에 정보통신서비스로 분류된다. 어떤 부처 규칙을 우선해야 하는지 혼란이 불가피한 것.

    플랫폼 업계에선 보안 강화 취지는 공감하지만, 부담을 호소하는 분위기다. 실효성 있는 보안 강화까지는 대규모 투자와 인력 증가가 필수기 때문이다. 특히 중소형 간편결제사·PG사 등은 비용 부담이 가중될 수 있어 제도 설계 과정에서 규모·업무 특성에 따른 차등 규제를 요구하고 있다.

    보안 업계 전문가는 "보안 강화를 규제 부담이 아니라 산업 지속성장 기반으로 봐야 한다"며 "정확한 감독 기준을 제시해 예측가능성을 높이는 것이 필요하다"고 말했다.