개인정보위, ‘45만명 주민등록번호 유출’ 롯데카드에 과징금 96억원 부과

로그 파일에 13자리 보이게 저장
로그 파일 암호화 조치도 불충분

지난해 롯데카드가 온라인 간편 결제 시스템 해킹으로 고객 297만명의 개인 신용 정보와 함께 45만명의 주민등록번호를 유출해 과징금 96억2000만원과 과태료 480만원을 물게 됐다.

개인정보보호위원회는 11일 전체 회의에서 개인정보 보호법을 위반한 롯데카드에 이같이 부과하고, 개인정보 보호 체계 전반을 정비하라는 시정 명령을 내렸다.

송경희 개인정보보호위원회 위원장이 3월11일 서울 종로구 정부서울청사에서 열린 개인정보위 전체 회의에서 의사봉을 두드리고 있다. 개인정보위 제공

개인정보위는 지난해 9월 금융감독원에서 롯데카드의 개인 신용 정보 누설 신고 사실을 통지받고 조사에 나서 45만명 주민번호 유출을 확인했다. 개인 신용 정보에 대해선 신용정보법이 우선 적용돼 개인정보위는 주민번호 처리를 중심으로 개인정보 보호법 위반 여부를 조사했다.

개인정보위 조사 결과, 롯데카드는 온라인 결제와 관련된 로그(기록)에 주민번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 법적 근거 없이 주민번호를 처리했다. 개인정보 보호법상 주민번호는 법률, 대통령령, 국회·대법원·헌법재판소·중앙선거관리위원회·감사원 규칙에서 구체적으로 처리를 요구하거나 허용한 경우, 정보 주체나 제삼자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우에만 개인정보 처리자가 처리할 수 있다.

아울러 롯데카드는 로그 파일에 대한 암호화 조치도 충분히 하지 않은 것으로 조사됐다. 개인정보위는 “불가피한 경우에 한해 로그 파일에 최소한의 개인정보만 기록해야 함에도, 롯데카드가 로그에 주민번호 등 개인정보를 별도의 검토 없이 저장해 온 것이 해킹 사고가 대규모 개인정보 유출로 이어진 원인 중 하나로 파악됐다”고 밝혔다.

윤여진 개인정보위 조사1과장은 이날 브리핑에서 “로그에 평문으로 기록했다는 건 주민번호 13자리가 보이게 저장했다는 것”이라며 “과징금은 롯데카드의 온라인 간편 결제를 비롯한 온라인 결제 매출액을 기준으로 했다”고 설명했다. 윤 과장은 “개인 신용 정보 유출과 관련한 안전조치 위반은 금융 당국이 조사 중이며 추후 처분할 예정”이라고 덧붙였다.

개인정보위는 법적 근거가 없거나 불필요한데도 금융 분야 사업자들이 주민번호를 관행적으로 처리하는지 여부와 관련해 이달 중 사전 실태 점검을 추진할 계획이다. 개인정보위는 올 초 사전실태점검과를 신설했다.

박진영 기자 jyp@segye.com