금융회사, 이제 보안 의무 위반 시 과태료 개별 건별로 엄격히 부과받는다

금융회사들은 앞으로 전자금융거래법상 안전성 확보 의무를 위반했을 때, 기존보다 더 엄격하게 개별 건별로 과태료를 부과받게 된다. 이는 금융 침해 범죄에 대한 금융회사의 책임성을 강화하기 위한 조치로, 2025년 2월부터 시행된다.

이번 개편의 핵심은 과태료 부과 기준을 ‘개별 수범사항’ 단위로 명확히 한다는 점이다. 이전에는 전자금융감독규정 내 같은 ‘절’에 포함된 다른 규정을 위반했더라도, 위반 행위 간 유사성이 인정되면 하나의 행위로 간주해 과태료를 단건 부과하는 경우가 있었다. 하지만 금융위원회는 전자금융감독규정 내 세세하고 지엽적인 수범사항을 293개에서 166개로 대폭 정비했으며, 이에 따라 과태료 부과 기준 역시 다른 법령과 동일하게 ‘개별 수범사항’별로 엄격하게 적용하게 된 것이다.

그렇다면 앞으로 금융회사는 어떤 경우에 개별 건별로 과태료를 부과받게 될까? 세 가지 원칙에 따라 행위의 동일성이 인정되는 경우에만 하나의 행위로 보아 과태료를 단건 부과한다.

첫째, 각 위반 행위가 침해한 규정 간 ‘법 규정의 동일성’이 있어야 한다. 이는 전자금융감독규정상의 ‘절’이 아닌 ‘개별 수범사항’을 기준으로 판단한다. 둘째, 각 위반 행위 간 ‘시간적·장소적 근접성’이 있어야 한다. 이는 위반 행위가 발생한 시점 간의 차이와 장소 간의 거리가 충분히 가까운 경우를 말하며, 위반 행위의 양태나 위법성 가중 정도 등을 종합적으로 고려하여 판단한다. 셋째, 각 위반 행위 간 ‘행위 의사의 단일성’이 있어야 한다. 원칙적으로 위반 행위의 대상과 수범사항이 같으면 행위 의사의 단일성이 있다고 보며, 대상이 다르더라도 각 행위가 하나의 프로젝트나 동일한 업무 단위로 묶이는 경우 등에는 행위 의사의 단일성을 인정할 수 있다.

이번 개편으로 금융회사들은 166개로 단순화된 수범사항 범위 내에서 자체 보안 역량을 유연하게 강화하는 동시에, 각 개별 수범사항에 대해 더욱 책임감 있게 금융 안전성 강화에 임해야 한다. 또한, 다른 금융 법령과 동일한 원칙에 따라 과태료가 건별로 부과됨으로써 제재 조치의 합리성도 확보될 것으로 기대된다.

금융위원회는 앞으로도 금융권 보안 사고 발생 시 징벌적 과징금 도입, CISO(정보보호최고책임자) 권한 강화, 보안 사고 발생 시 소비자 유의사항 공시 의무화 등 금융 보안을 획기적으로 강화하고 내실 있는 소비자 보호를 위한 정책적 노력을 지속할 예정이다.