개인정보위, 보호 법규 어긴 '롯데카드'에 과징금 96억원 부과

윤여진 개인정보보호위원회 조사1과장이 12일 오전 정부서울청사에서 제4회 전체회의 안건인 '개인정보 보호법규 위반 롯데카드 제재' 관련 브리핑을 진행하고 있다.ⓒ개인정보보호위원회

개인정보 보호 법규를 위반한 롯데카드가 개인정보보호위원회(개인정보위)로부터 과징금 96억2000만원과 과태료 480만원을 부과받았다.

개인정보위는 지난 11일 제4회 전체회의를 열고 이같은 내용을 의결했다고 12일 밝혔다.

개인정보위는 지난해 9월 22일 금융감독원이 롯데카드의 개인신용정보 누설 신고 사실을 알려옴에 따라 관련 사실 확인을 위해 조사에 착수했다.

롯데카드 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출됐으며, 그 중 45만명의 주민등록번호가 함께 유출된 사실이 확인됐다.

신용정보법은 개인신용정보처리에 관한 특별법으로, 개인신용정보에 관해서는 신용정보법이 개인정보보호법(보호법)에 우선해 적용된다. 반면 신용정보법에 규정돼 있지 않은 개인정보의 처리에 대해서는 보호법이 적용된다.

이에 금융당국은 신용정보법 위반 여부를, 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사했다.

개인정보위 조사 결과에 따르면, 롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리했다. 로그 파일에 대한 암호화 조치도 충분히 하지 않았다.

또한 로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 하지만, 롯데카드는 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 이번 해킹사고가 대규모 개인정보 유출로 이어진 원인으로 파악됐다.

개인정보위는 이러한 것들을 종합 고려해 과징금 96억2000만원과 과태로 480만원을 부과하고, 처분 사실을 사업자 누리집에 공표하도록 명령했다.

이와 함께 전반적인 개인정보 처리 현황을 점검 및 개선하고, 개인정보보호책임자(CPO)의 책임·독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하도록 시정조치를 명했다.

개인정보위는 이달 중 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태점검을 추진할 계획이다.