개인정보보호위원회가 지난해 297만명의 개인 신용정보 유출 사고를 낸 롯데카드에 96억2000만원의 과징금을 부과했다.

윤여진 개인정보보호위원회 조사1과정이 12일 정부서울청사에서 전체회의에서 의결한 롯데카드 처분 관련 브리핑을 하고 있다. 노경조 기자

개인정보위는 제4회 전체회의에서 주민등록번호 처리 의무를 다하지 않는 등 개인정보보호법을 위반한 롯데카드에 대해 과징금과 480만원의 과태료 부과, 시정·공표 명령을 의결했다고 12일 밝혔다.
윤여진 개인정보위 조사1과장은 이날 정부서울청사에서 열린 전체회의 관련 브리핑에서 "지난해 9월 금융감독원에서 롯데카드의 개인 신용정보 누설 신고 사실을 알려오면서 조사에 착수했다"며 "조사 결과 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 297만명의 개인 신용정보가 유출됐고, 그중 45만명의 주민등록번호도 함께 유출된 것으로 확인됐다"고 말했다.

금융당국이 롯데카드의 안전 조치 의무 중심으로 신용정보법 위반 여부를 살폈다면, 개인정보위는 롯데카드의 주민등록번호 처리에 따른 개인정보보호법 위반 여부를 조사했다고 설명했다.

롯데카드는 온라인 결제 관련 로그에 다수의 개인정보를 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리한 것으로 나타났다. 로그 파일 암호화도 미흡했다. 개인정보호호법 제24조의2에 따르면 주민등록번호는 법률, 대통령령, 국회 규칙 등에서 요구하거나 정보 주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위할 경우 등 제한적인 상황에서만 처리 가능하다.

또 로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 하는데, 롯데카드는 별도의 검토 없이 다수의 개인정보를 저장해온 것으로 파악됐다고 개인정보위는 전했다. 대규모 개인정보 유출 빌미를 제공했다는 것이다.


다만 일부에서는 대규모 개인정보 유출로 1348억원의 과징금을 부과받은 SK텔레콤과 비교해 처분이 약한 것 아니냐는 지적도 나온다. 이에 대해 윤 과장은 "해당 건은 개인정보위가 주민등록번호 처리 제한과 암호화 조치 위반 여부만 판단해 단순 비교는 적절하지 않다"고 말했다.

이번 과징금 산정의 기준이 되는 '매출'은 '온라인 결제 서비스'로 한정했다고도 했다. 그는 "주민등록번호가 저장된 로그가 온라인 결제 과정에서 발생한 만큼 온라인 결제 서비스 관련 매출만 과징금 산정 대상 포함했다"고 부연했다.

개인정보위는 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 이달 중 금융 분야 사업자들에 대한 사전 실태점검을 추진한다는 계획이다. 개인정보위는 "이번 사건을 계기로 사업자 스스로 개인정보 오·남용에 경각심을 가지고 개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검·개선해 달라"고 당부했다.

노경조 기자 felizkj@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>