윤여진 개인정보보호위원회 조사1과장이 12일 서울 종로구 정부서울청사에서 297만 회원 정보유출 롯데카드 과징금 96억 부과 관련 내용을 브리핑하고 있다. 개인정보위 제공

개인정보보호위원회는 45만명의 주민등록번호 유출 사고가 발생한 롯데카드에 과징금 96억2000만원, 과태료 480만원을 부과했다고 12일 밝혔다.

개인정보위는 전날 열린 제4회 전체회의에서 개인정보 보호 법규를 위반한 롯데카드에 이같은 과태료·과징금 부과와 시정 및 공표 명령을 의결했다.

이번 조사는 지난해 9월 금융감독원에서 롯데카드의 ‘개인신용정보 누설 신고 사실’을 알려오면서 시작됐다.

조사 결과, 롯데카드의 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출됐고, 이 중 45만명의 주민등록번호가 함께 유출된 것이 확인됐다.

개인신용정보에는 신용정보법이 ‘개인정보 보호법’에 우선 적용되는 반면, 신용정보법에 규정돼 있지 않은 개인정보의 처리에 대해서는 보호법이 적용된다. 이 때문에 금융당국과 개인정보위는 역할을 나눠 조사했다.

금융당국은 롯데카드의 개인신용정보 유출과 관련한 안전조치의무를 중심으로 신용정보법 위반 여부를, 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법을 위반했는지 조사했다.

개인정보위 조사 결과에 따르면 롯데카드는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 다수의 개인정보를 평문 형태로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리한 것으로 나타났다.

현행 개인정보보호법은 법률이나 대통령령 등에서 처리를 요구하거나 허용한 경우, 또는 정보주체나 제3자의 급박한 생명·신체·재산 보호를 위해 명백히 필요한 경우 등에만 주민등록번호 처리를 허용하고 있다.

또 로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 하지만 롯데카드는 별도 검토 없이 주민등록번호 등 여러 개인정보를 함께 저장해 온 것으로 파악됐다. 개인정보위는 이러한 관행이 이번 해킹 사고에서 대규모 개인정보 유출로 이어진 원인 중 하나로 봤다.

전반적인 과징금과 과태료 부과에 더해 개인정보 처리 현황을 점검 및 개선하고, 개인정보 보호책임자(CPO)의 책임·독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하도록 시정조치를 명령했다.

개인정보위는 이번 사건을 계기로 금융 분야 사업자의 주민등록번호 처리 실태에 대한 사전 점검도 이달 추진할 계획이다.

이주희 기자 jh224@segye.com

ⓒ 세상을 보는 눈, 세계일보