약 45만명의 주민등록번호가 유출된 롯데카드에 대해 개인정보보호위원회가 96억원대 과징금을 부과했다.
개인정보보호위원회는 12일 롯데카드의 개인정보보호법 위반 행위에 대해 과징금 96억2000만원과 과태료 480만원을 부과하고 시정 및 공표 명령을 의결했다고 밝혔다. 해당 결정은 전날 열린 전체회의에서 확정됐다.
이번 조사는 지난해 9월 금융감독원이 롯데카드의 개인신용정보 누설 신고 사실을 개인정보위에 통보하면서 시작됐다.
조사 결과 롯데카드의 온라인 간편결제 시스템이 해킹되면서 로그 파일에 기록된 약 297만명의 개인신용정보가 유출됐으며, 이 가운데 약 45만명의 주민등록번호도 포함된 것으로 확인됐다.
개인신용정보 처리 문제는 신용정보법이 우선 적용되는 만큼 금융당국과 개인정보위가 역할을 나눠 조사했다. 금융당국은 안전조치 의무 위반 여부 등 신용정보법 적용 사항을 살폈고, 개인정보위는 주민등록번호 처리 과정에서 개인정보보호법 위반 여부를 집중 조사했다.
조사 결과 롯데카드는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호 등 여러 개인정보를 평문 형태로 기록하는 등 법이 허용한 범위를 넘어 주민등록번호를 처리한 것으로 드러났다.
현행 개인정보보호법은 법률이나 대통령령에서 요구하거나 허용한 경우 등 제한적인 상황에서만 주민등록번호 처리를 허용하고 있다.
또 로그 파일에 대한 암호화 조치도 충분히 이뤄지지 않은 것으로 확인됐다. 로그에는 필요한 최소한의 개인정보만 기록해야 하지만 롯데카드는 별도 검토 없이 주민등록번호 등 여러 정보를 함께 저장해 온 것으로 조사됐다.
개인정보위는 이러한 관행이 이번 해킹 사고로 이어진 주요 원인 중 하나로 보고 있다.
개인정보위는 과징금·과태료 부과와 함께 개인정보 처리 전반을 점검하고 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 체계를 개선하라는 시정 명령을 내렸다.
또 이번 사건을 계기로 금융사업자의 주민등록번호 처리 실태에 대한 사전 점검도 추진할 계획이라고 밝혔다.
정재홍([email protected])