[서울이코노미뉴스 박희만 기자] 온라인 결제시스템 해킹으로 약 297만명의 개인정보가 유출된 롯데카드에 대해 정부가 96억원대 과징금을 부과했다.
정부 조사결과, 롯데카드는 결제 로그 파일에 주민등록번호 등 민감한 개인정보를 평문 형태로 저장하는 등 보안조치가 미흡했던 것으로 드러났다.
개인정보보호위원회는 전날 전체회의를 열고 개인정보보호 법규를 위반한 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과하기로 의결했다고 12일 밝혔다.
아울러 위반사실을 회사 홈페이지에 공표하고, 개인정보보호 체계를 전면 점검하도록 하는 시정명령도 함께 내렸다.
이번 조사는 지난해 9월 금융감독원이 롯데카드의 개인신용정보 누설 사실을 통보하면서 시작됐다.
조사결과 롯데카드의 온라인 간편결제 시스템이 해킹되면서 로그 파일에 저장돼 있던 이용자 약 297만명의 개인신용정보가 외부로 유출된 것으로 확인됐다.
이 가운데 약 45만명의 주민등록번호도 포함된 것으로 나타났다.
개인신용정보 처리에는 ‘신용정보의 이용 및 보호에 관한 법률’이 특별법으로 적용된다. 다만 신용정보법에 규정되지 않은 개인정보 처리행위에 대해서는 개인정보 보호법이 적용된다.
이에 금융당국은 개인신용정보 유출과 관련한 안전조치 의무준수 여부를 중심으로 신용정보법 위반 여부를 조사했고, 개인정보위는 주민등록번호 처리과정에 초점을 맞춰 개인정보 보호법 위반 여부를 살폈다.
조사결과 롯데카드는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 다양한 개인정보를 평문 형태로 저장한 것으로 확인됐다.
이는 법에서 허용한 범위를 넘어선 주민등록번호 처리에 해당한다. 또한 로그 파일에 대한 암호화 조치 역시 충분히 이뤄지지 않았던 것으로 나타났다.
로그 파일은 시스템이나 네트워크에서 발생하는 작업기록을 의미하며, 원칙적으로 불가피한 경우에 한해 최소한의 개인정보만 기록해야 한다.
개인정보위는 별도의 검토없이 주민등록번호 등 개인정보를 로그에 남겨온 점이 대규모 정보유출의 주요 원인으로 작용했다고 판단했다.
개인정보위는 법적 근거없이 주민등록번호를 처리하고 충분한 암호화 조치를 적용하지 않은 점을 위법행위로 판단해 과징금과 과태료를 부과했다고 설명했다. 또한 처분 사실을 회사 홈페이지에 공표하도록 했다.
이와 함께 개인정보 처리전반에 대한 점검과 개선을 요구하는 시정조치도 내렸다.
특히 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보보호 체계를 전면적으로 정비할 것을 요구했다.
한편, 개인정보위는 이달 중 금융권 전반을 대상으로 주민등록번호 처리실태 점검에 나설 계획이다.
법적 근거없이 주민등록번호를 관행적으로 처리하고 있는지 여부를 집중적으로 살펴볼 방침이다.