개인정보보호위원회가 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과했다. 온라인 간편결제 시스템 해킹 과정에서 개인정보가 유출됐고, 이 중 주민등록번호도 포함된 것으로 나타났다.
12일 개인정보위는 전날 열린 제4회 전체회의에서 이 같은 내용을 의결했다고 밝혔다. 롯데카드는 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출됐다. 이 중 45만 명의 주민등록번호도 함께 유출된 것으로 조사됐다.
이번 사안에서 금융당국은 개인신용정보 유출과 관련한 안전조치의무를 중심으로 신용정보법 위반 여부를 조사했다. 개인정보위는 주민등록번호 처리와 관련한 개인정보보호법 위반 여부를 살폈다.
조사 결과 롯데카드는 온라인 결제 관련 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록한 것으로 나타났다. 개인정보위는 이를 법에서 허용한 범위를 벗어난 주민등록번호 처리로 판단했다. 로그 파일에 대한 암호화 조치도 충분하지 않았다고 봤다.
개인정보위는 로그 파일에는 불가피한 경우에만 최소한의 개인정보를 기록해야 한다고 설명했다. 그런데도 롯데카드는 주민등록번호를 포함한 여러 개인정보를 별도 검토 없이 저장해온 것으로 파악됐다. 개인정보위는 이런 관행이 이번 해킹 사고를 대규모 유출로 키운 원인 중 하나라고 판단했다.
개인정보위는 법적 근거 없이 주민등록번호를 처리한 행위와 암호화를 충분히 적용하지 않은 행위에 대해 제재를 결정했다. 또 처분 사실을 롯데카드 홈페이지에 공표하도록 명령했다. 전반적인 개인정보 처리 현황을 점검·개선하고 개인정보보호책임자(CPO)의 책임과 독립성을 강화하라는 시정조치도 함께 내렸다.
개인정보위는 이번 사건을 계기로 금융권 전반의 주민등록번호 처리 관행도 들여다볼 방침이다. 법적 근거가 없거나 불필요한 주민등록번호 처리가 있는지 확인하기 위해 금융 분야 사업자를 대상으로 사전 실태 점검을 추진할 계획이다.
롯데카드 관계자는 “지난해 사이버 침해 사고로 인해 불편과 심려를 끼쳐 드린 점에 대해 다시 한번 깊이 사과드린다”며 “향후 재발 방지와 개인정보 보호 강화를 위해 최선의 노력을 다할 것을 약속드린다”고 말했다.
이어 “롯데카드는 사고 사실을 자진 신고하고 위원회 조사에도 성실히 임했다”며 “다만 법적 근거 조항 등 소명한 내용이 충분히 반영되지 못한 부분에 대해서는 의결서를 수령한 뒤 내용을 면밀히 검토해 가능한 이의절차를 통해 계속 소명해 나갈 것”이라고 덧붙였다.
