金融監督院は大規模な顧客情報漏洩事件に関連して、ロッテカードに営業停止と課徴金を決定し、ジョ・ジャジン元代表にも警告を発した。金融会社の情報漏洩事件でCEOに重い責任を問うことは象徴的である。これは、セキュリティ事故を単なるシステム部門のミスや外部ハッカーの犯罪としてだけでは見ないという宣言に近い。
これまで国内企業では、事故が発生すると実務者の責任で終わることが多かった。しかし、デジタル金融時代にはこの方法は通用しない。顧客情報保護は企業の存立に直結する経営課題である。
ロッテカードから漏洩した情報は約297万人分とされ、その中にはカード番号や有効期限などの決済関連情報も含まれていた。金融消費者にとって、これは単なる個人情報侵害を超え、直接的な金銭被害の懸念につながる可能性がある。こうした事故が発生した場合、CEOの責任を問うことは過度な処罰ではなく、当然の経営原則である。
CEOの責任は、ハッキングボタンを直接押さなかったという理由で免れるものではない。セキュリティ予算の配分、専門人材の確保、外部業者の管理、内部統制と点検体制の運用はすべて経営陣の決定事項である。事故はハッカーが引き起こすが、脆弱性は組織が作る。したがって、セキュリティの失敗は経営の失敗である。
今回の措置が重要なもう一つの理由は、金融界全体に与えるメッセージである。カード会社や保険会社、証券会社など非銀行部門はデジタル化の速度は速かったが、セキュリティ投資や人材拡充は相対的に不足していると指摘されてきた。今回の警告は、そのような安易さに対する警告である。
もちろん、責任追及だけでは問題は解決しない。CEOを処罰してもセキュリティ水準が自動的に向上するわけではない。各金融機関は取締役会レベルでサイバーリスクを定期的に点検し、最高情報保護責任者の権限と独立性を強化すべきである。情報技術予算もコスト削減対象ではなく、信頼への投資と認識すべきである。
ジョ・ジャジン元代表個人の責任を超え、今回の事案は韓国金融会社のCEO全員に対するメッセージである。顧客情報を預かる瞬間にセキュリティ責任も共に担うという意味である。成果は役員会で分け合い、事故は実務者に押し付ける時代は終わらねばならない。
金融の本質は信頼であり、信頼の出発点は安全である。ジョ・ジャジン元代表への警告は、一人に対する制裁ではなく、CEO責任経営の基準を再設定した事件である。今後、金融界のCEOは業績発表と同様にセキュリティ点検報告書も重く受け止めるべきである。
* この記事はAIによって翻訳されました。
