개인정보위, ’297만명 개인정보 유출’ 롯데카드에 과징금 96억원

회원 45만명 주민번호 유출된 것으로 파악

서울 종로구 롯데카드 본사의 모습. /뉴스1

개인정보보호위원회는 지난해 약 297만명의 고객 개인정보를 유출한 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과한다고 12일 밝혔다.

개인정보위는 전날 열린 전체회의에서 롯데카드의 개인정보보호법 위반 행위에 대해 이같이 과징금·과태료 부과와 시정 및 공표 명령을 의결했다.

롯데카드는 지난해 9월 온라인 간편결제 시스템을 해킹 당해 로그 파일에 있던 이용자 약 297만명의 개인신용정보를 유출했다. 조사 결과, 이 중 45만명은 주민등록번호도 함께 유출된 것으로 확인됐다.

개인신용정보 처리에 대해서는 신용정보법이 우선 적용되는 만큼 금융당국과 개인정보위가 역할을 나눠 조사했다. 금융당국은 정보 유출과 관련한 안전조치 의무 위반 여부를 중심으로 신용정보법 적용 여부를 살폈고, 개인정보위는 주민등록번호 처리 과정에서 개인정보 보호법 위반이 있었는지 들여다 봤다.

롯데카드 입장에서는 신용정보법이 우선 적용되면서 수백억대의 과징금은 피한 것으로 보인다. 신용정보법상으로는 개인신용정보를 해킹으로 분실·도난당한 경우 과징금 한도가 50억원으로 제한된다. 금융당국 제재 수위는 아직 확정되지 않았다.

개인정보위 조사 결과 롯데카드는 온라인 결제 과정에서 생성되는 컴퓨터 기록(로그) 파일에 주민등록번호를 포함한 다수의 개인정보를 평문 형태로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리한 것으로 나타났다.

현행 개인정보보호법은 법률이나 대통령령 등에서 처리를 요구하거나 허용한 경우, 또는 정보주체나 제3자의 급박한 생명·신체·재산 보호를 위해 명백히 필요한 경우 등에만 주민등록번호 처리를 허용하고 있다. 로그 파일에 대한 암호화 조치도 충분히 이뤄지지 않았던 것으로 나타났다.

로그에는 불가피한 경우 최소한의 개인 정보만 기록해야 하지만 롯데카드는 별도 검토 없이 주민등록번호 등 여러 개인정보를 함께 저장해 온 것으로 파악됐다. 개인정보위는 이러한 관행이 이번 해킹 사고에서 대규모 개인정보 유출로 이어진 원인 중 하나로 보고 있다.

개인정보위는 롯데카드가 법적 근거 없이 주민등록번호를 처리한 행위와 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대해 과징금 96억2000만원과 과태료 480만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다.

개인정보위는 롯데카드 사례처럼 불필요하게 주민등록번호를 처리하는 관행을 바로잡기 위해 이달 중으로 금융 분야 사업자들에 대한 사전 실태 점검에 나설 예정이다.

- Copyright ⓒ 조선비즈 & Chosun.com -