금융당국의 부실검사와 솜방망이 처벌이 고객정보 유출사건 발생의 주요 원인이라는 비난이다. 또 이번 카드 3사 개인정보 유출사고 이전 5년간 유출된 정보건수가 333만 건에 달해 금융기관에 대한 금융당국의 제재 억지력과 실효성에 문제가 있다는 지적이다.
16일 민주당 김기식 의원이 금감원으로부터 제출받은 ‘2008년 이후 금융기관 고객정보 유출사고 및 제재 현황’자료에 따르면 이 기간 동안 금융감독원으로부터 주의 이상의 처분을 받았거나 현재 검사가 진행 중인 정보유출사고 건수는 17건으로, 한해 평균 3건에 달하는 금융기관의 대규모 정보유출사고가 발생하고 있다.

이 가운데 금감원이 검사를 통해 적발한 사건은 1건에 불과하고, 나머지는 사고 발생 이후 금융기관이 보고했거나, 수사기관이 금감원에 통보해와 적발된 것이었다. 금융기관의 고객정보 유출에 대한 금감원의 검사가 부실했던 것이다.
뿐만 아니라 금감원의 조치 결과 또한 하나같이 미미했다. ‘3개월 영업정지’와 해임건의 등을 포함하는 이번 조치가 외려 이례적이다. 예컨대 2013년 금융기관의 ‘고객정보 조회시스템 보호대책·신용정보 보호대책의 수립과 운용 소홀’로 인한 제재들을 살펴보면, 금융기관에 대해 기껏 기관주의에 그쳤고, 과태료도 300만 원(신한캐피탈), 600만 원(IBK캐피탈, 메리츠화재)에 불과했다. 심각한 수준의 ‘솜방망이 처벌’이 내려졌고, 금융기관이 부담을 느낄 아무런 계기가 되지 못했다.
김 의원은 “금융위원회와 금감원이 금융기관의 고객정보유출에 대해 부실검사와 솜방망이 처벌로 일관해 왔기 때문에, 정보유출사고에 대한 예방 효과나 억지력은 거의 없었다. 금융당국이 이번 유출사태 발생으로부터 결코 자유로울 수 없는 중요한 이유이며, 보다 엄격한 법집행과 관련 제재규정 개정이 시급하다”고 지적했다.

더욱이 금융당국의 제재 조치가 정작 정보를 유출당한 금융 소비자들의 피해구제에는 아무런 직접적 도움이 되지 않는다. 소비자들은 결국 소송을 통해서만 정보 유출로 인한 경제적·정신적 피해를 보상받을 수 있기 때문이며 과태료는 고스란히 정부 몫이다.
그러나 소송의 혜택은 수십만의 피해자들 중 소송에 직접 참여한 극히 일부에게만 돌아가고, 그나마 손해의 인정여부나 인정범위도 매우 제한적이다. 네이트·싸이월드의 해킹 사고에 대한 1심 법원의 손해배상액 산정은 청구기각(서울중앙지법)부터 20만원 위자료 인정(서부지법), 100만원 위자료 인정(구미시군법원)으로 모두 달랐고, 징벌적 배상은커녕 피해자들에 대한 최소한의 배상도 이뤄지지 않고 있다.
이에 김 의원은 “소비자 피해구제를 빠르고 효과적으로 실시할 수 있는 ‘배상명령제도’를 도입해 정보유출 피해자에 대한 금융기관의 일괄적 보상 근거를 마련해야 한다”고 말했다.