지난해 8월 롯데카드에서 서버의 구형 취약점을 악용한 해킹이 발생해 전체 회원의 30%에 해당하는 297만명의 개인정보가 유출됐다. 개인정보보호위원회가 이미 롯데카드에 96억2000만원의 과징금을 부과했다. 당국이야 각각의 법률에 정해진 대로 제재할 뿐이라고 하지만 해킹을 당한 기업의 입장에서는 이중제재라고 느낄 수 있는 부분이다.
도둑 맞으라고 현관문을 활짝 열어두는 사람은 없다. 해킹은 작정하고 침입하는 외부 공격자의 엄연한 범죄행위다. 물론 롯데카드도 구형 취약점 패치를 방치한 관리 부실의 잘못이 있다. 그 책임을 전혀 묻지 말라는 말이 아니다.
2025년은 대한민국 사이버 보안의 민낯이 드러난 해였다. SK텔레콤과 KT, LG유플러스 등 통신사는 물론이고 예스24, 쿠팡 등에 이르기까지 업종을 불문하고 해킹사고가 터졌다. 해킹은 더 이상 특정 기업의 실수가 아닌 산업 전반의 일반화된 리스크가 된 것이다.
이같은 상황에서 당국은 걸린 기업만 강하게 때리고 있다. 징벌적 과징금을 높이고, 영업정지 기간을 늘리면 기업들이 보안에 더 투자할 것이라는 논리다. 틀린 말은 아니지만 이게 전부여서는 안 된다.
이대로라면 역효과도 우려된다. 해킹 신고를 빨리 할수록, 사고 규모가 정확히 드러날수록 제재는 더 세진다. 기업들로서는 신고를 미루거나 축소하고 싶은 유인이 생긴다. KT는 해킹사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹으로 압수수색을 받기도 했다. 해킹에 대한 제재 구조가 기업의 자발적 신고를 막을 수 있다는 우려를 상징적으로 보여준 사례로 꼽힌다.
해외는 다르게 접근한다. 영국 정보보호위원회(ICO)는 해킹에 의한 정보 유출이 발생했던 영국항공(British Airways)와 메리어트(Marriott) 사건에서 애초 수천억 원대 과징금을 예고했지만 적극적인 조사 협력, 즉각 신고, 신속한 사후 대처 등을 감경 사유로 인정해 최종 과징금을 대폭 낮췄다. 미국 사이버보안·인프라보안국(CISA)은 기업들이 공격 수법과 침해지표를 제출하면 법적 보호를 제공하는 정보공유 체계를 운영한다. 기업이 해킹 정보를 숨기지 않고 오히려 자발적으로 제출하게 만드는 구조다.
보안 업계에서는 '사고를 막는 보안'에서 '사고를 견디는 보안'으로 중심축을 옮겨야 할 때라는 얘기가 나온다. 아무리 보안에 투자해도 국가 배후 해킹 조직이나 고도화된 공격자를 100% 막는 건 불가능에 가깝다는 뜻이다.
당국이 해야 할 일은 사고 이후의 투명한 신고와 정보공유를 장려하고, 해커를 추적하는 데 더 많은 자원을 집중하는 것이다. 롯데카드 제재심이 아직 결론을 내리지 못하고 있다는 건, 금융당국 내에서도 지금의 법리가 맞는지 고민하고 있다는 방증이다. 이번 결정이 우리카드, 신한카드 등 후속 제재의 기준선이 될 수 있다는 관측도 나온다. 그 기준선이 처벌의 수위가 아니라 협력과 재발방지의 실효성을 중심으로 설계되기를 바란다.
해킹한 놈을 잡는 나라가 돼야지, 털린 기업만 때리는 나라여서는 안된다.
![[시대데스크]가해자 아닌 피해자만 때리는 나라](https://menu.sidae.com/cdn-cgi/image/fit=cover,f=auto,g=face,width=200,height=250,dpr=1,quality=90/moneyweek/thumb/2026/04/23/05/2026042310022235246_1.jpg)
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>