300만 명의 개인정보를 유출한 롯데카드가 온라인 결제 관련 기록에 주민등록번호를 포함한 다수의 개인정보를 암호화하지도 않은 것으로 조사됐다. 당국은 약 96억 원의 과징금을 부과했다.
개인정보보호위원회는 11일 제4회 전체회의를 열고 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억 2천만 원과 과태료 480만 원을 부과하고, 시정 및 공표 명령을 의결했다.
개인정보위는 지난해 9월22일 금융감독원에서 롯데카드의 개인신용정보 누설 신고 사실을 알려옴에 따라 관련 사실 확인을 위해 조사에 착수했다.
이후 롯데카드의 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출됐으며, 그 중 45만 명의 주민등록번호도 함께 유출된 사실을 확인했다.
관련 법에 따라 금융당국은 롯데카드의 개인신용정보 유출 관련 안전조치의무를 중심으로 신용정보법 위반 여부를, 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사했다.
개인정보위 조사에 따르면, 롯데카드는 온라인 결제와 관련된 로그(기록)에 주민등록번호를 포함한 다수의 개인정보를 암호화하지 않은 채로 기록하는 등 법을 위반했다. 아울러, 로그 파일에 대한 암호화 조치도 충분히 하지 않았다.
또 로그 파일에는 불가피한 경우에 한해, 최소한의 개인정보만 기록하여야 함에도 불구하고, 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 로그에 저장해온 것이 이번 해킹사고가 대규모 개인정보 유출로 이어진 원인 중 하나로 파악됐다.
개인정보위는 과징금 및 과태료 부과와 함께 전반적인 개인정보 처리 현황을 점검 및 개선하고, 개인정보 보호책임자(CPO)의 책임·독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하도록 시정조치를 명했다.
개인정보위는 법적 근거가 없거나 불필요하게 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태점검을 추진할 계획이다.
개인정보위 관계자는 "사업자 스스로 개인정보 오·남용에 대한 경각심을 가지고 개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검하고 개선해 나가야 한다"고 강조했다.