개인정보위, 롯데카드에 과징금 96억원…주민번호 관리 미흡

개인정보보호위원회(이하 개인정보위)는 개인정보 보호법 위반으로 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과하고, 시정·공표 명령을 의결했다고 12일 밝혔다.

이번 조치는 롯데카드의 온라인 간편결제 시스템 해킹으로 이용자 약 297만명의 개인 신용정보가 유출되고, 이 가운데 45만명의 주민등록번호까지 함께 유출된 사실을 확인한 데 따른 것이다. 개인정보위는 금융당국이 개인신용정보 유출과 관련한 안전조치 의무 위반 여부를 맡고, 개인정보위는 주민등록번호 처리와 관련한 개인정보 보호법 위반 여부를 조사했다고 설명했다.

조사 결과 롯데카드는 온라인 결제 관련 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록했다. 개인정보위는 이를 법이 허용한 범위를 벗어난 주민등록번호 처리로 판단했다. 로그 파일에 대한 암호화 조치도 충분하지 않았다고 봤다.

로그는 컴퓨터 시스템이나 네트워크에서 발생한 작업과 사건의 기록이다. 개인정보위는 로그에는 불가피한 경우에만 최소한의 개인정보를 남겨야 하는데도, 롯데카드가 별도 검토 없이 주민등록번호를 포함한 여러 정보를 저장해 이번 해킹 사고의 피해 규모를 키운 원인 중 하나가 됐다고 판단했다.

개인정보위는 롯데카드에 처분 사실을 회사 누리집에 공표하도록 명령했다. 아울러 개인정보 처리 현황 전반을 점검·개선하고, 최고 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 내용을 포함해 개인정보 보호 체계를 전면 정비하라고 시정명령했다. CPO는 기업의 개인정보 보호 업무를 총괄하는 책임자다.

개인정보위는 이번 사건을 계기로 금융분야 사업자들이 법적 근거 없이 주민등록번호를 관행적으로 처리하고 있는지 사전 실태점검에 나설 계획이다. 사업자 스스로도 개인정보 오남용 가능성을 점검하고, 개인정보 처리 현황을 주기적으로 개선해야 한다고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network