고도화되고 대담해지는 금융 침해 범죄에 대응하기 위해 전자금융거래법상 안전성 확보 의무 위반에 대한 과태료 부과 기준이 개편된다. 금융위원회는 제15차 정례회의에서 “전자금융거래법상 안전성 확보의무 위반 과태료 부과기준 개편방안”을 논의하고, 이를 오늘부터 전면 시행한다고 밝혔다. 이번 개편은 금융회사가 자체 보안 역량을 유연하게 강화하도록 하되, 위규사항 결과에 대해서는 엄중한 책임을 묻겠다는 취지에서 출발했다.
기존에는 전자금융거래법상 안전성 확보 의무 위반 시 과태료 부과 대상 행위 건수를 합산하는 데 있어, ‘법 규정의 동일성’을 다소 느슨하게 적용해왔다. 전자금융감독규정 내 같은 ‘절(節)’에 포함된 다른 규정을 위반한 경우에도 위반 행위 간 동일성이 인정되면 과태료를 단건 부과해왔던 것이다. 이는 과거 전자금융감독 규정이 지나치게 세세하고 지엽적인 부분까지 규정하고 있어, ‘법 규정의 동일성’을 엄격히 적용할 경우 위반 행위 정도에 비해 과도한 제재가 가해질 수 있다는 점이 고려된 결과였다.
그러나 지난 2025년 2월, 금융위원회는 전자금융거래법상 안전성 확보 의무 관련 전자금융감독규정 중 지나치게 세세하거나 지엽적인 수범사항을 293개에서 166개로 대폭 정비한 바 있다. 이러한 제도적 정비를 바탕으로, 앞으로는 다른 법령 기준과 동일하게 ‘개별 수범사항’별로 과태료를 보다 엄격하게 부과할 수 있는 환경이 마련된 것이다.
개편된 과태료 부과기준에 따르면, 앞으로 안전성 확보 의무 위반 행위는 다음 세 가지 원칙에 비추어 행위의 동일성이 인정되는 경우에만 하나의 행위로 간주하여 과태료를 단건 부과하게 된다. 첫째, 각 위반 행위가 침해한 규정 간 ‘법 규정의 동일성’이 있어야 하며, 이는 ‘개별 수범사항’을 기준으로 판단한다. 둘째, 각 위반 행위 간 ‘시간적·장소적 근접성’이 있어야 한다. 이는 위반 행위의 양태, 위법성이 가중되는 정도 등을 종합적으로 고려하여 판단한다. 셋째, 각 위반 행위 간 ‘행위 의사의 단일성’이 있어야 하며, 원칙적으로 위반 행위의 대상과 수범사항이 같으면 인정되나, 대상이 다르더라도 하나의 프로젝트나 동일한 업무 단위로 묶이는 경우에도 인정될 수 있다.
이번 개편으로 금융회사는 개편된 166개의 수범사항 범위 내에서 자체 보안 역량을 더욱 유연하게 강화할 수 있게 되었다. 동시에, 개별 수범사항에 대한 책임감을 더욱 높여 금융 안전성 강화에 임하게 될 것으로 기대된다. 또한, 다른 금융 법령과 동일한 원칙에 따라 과태료가 건별로 부과됨으로써 제재 조치의 합리성 또한 확보될 것으로 보인다. 금융위원회는 향후에도 금융권 보안 사고 발생 시 징벌적 과징금 도입, CISO(정보보호최고책임자) 권한 강화, 보안 사고 발생 시 소비자 유의사항 공시 의무화 등 금융 보안을 획기적으로 강화하고, 사고 발생 시 내실 있는 소비자 보호가 이루어지도록 정책적 노력을 지속할 예정이다.
About the Author
