개인정보보호위원회가 주민등록번호를 부적정하게 처리한 '롯데카드'에 과징금 약 96억원을 부과했다. 해킹으로 297만명의 개인신용정보와 45만명의 주민등록번호가 유출된 사건과 관련한 조치다.
개인정보위는 지난 11일 오후 제4회 전체회의를 열고 개인정보 보호 법규를 위반한 '롯데카드'에 과징금 96억2000만 원과 과태료 480만원을 부과하고 시정 및 공표 명령을 의결했다.
이번 조사는 금융감독원이 지난해 9월 22일 롯데카드의 개인신용정보 누설 신고 사실을 개인정보위에 통보하면서 시작됐다. 조사 결과 롯데카드의 온라인 간편결제 시스템이 해킹되면서 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출됐다. 이 가운데 약 45만명의 주민등록번호도 함께 유출된 것으로 확인됐다.
금융권 개인정보 처리에는 '신용정보법'이 우선 적용된다. 금융당국은 개인신용정보 유출과 관련한 안전조치 의무 위반 여부를 중심으로 조사했다. 개인정보위는 주민등록번호 처리의 적법성 여부를 중심으로 '개인정보 보호법' 위반 여부를 확인했다.
개인정보위 조사 결과, 롯데카드는 온라인 결제 관련 로그 파일에 주민등록번호를 포함한 다수의 개인정보를 평문 형태로 기록해왔다. 주민등록번호는 법률 등에서 구체적으로 허용한 경우 등에만 처리할 수 있지만, 롯데카드는 이러한 법적 근거 없이 주민등록번호를 처리한 것으로 확인됐다. 로그 파일에 대한 암호화 조치도 충분하지 않았다.
특히 로그에는 불가피한 경우에만 최소한의 개인정보만 기록해야 하지만, 롯데카드는 별도의 검토 없이 주민등록번호 등 다수의 정보를 저장했다. 개인정보위는 이를 대규모 개인정보 유출로 이어진 원인 중 하나로 판단했다.
개인정보위는 과징금과 과태료 부과와 함께 처분 사실을 회사 홈페이지에 공표하도록 명령했다. 또 개인정보 처리 현황 전반을 점검·개선하고 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 체계를 전반을 정비하라는 시정명령도 내렸다.
개인정보위는 이번 사건을 계기로 이달 중 금융권의 주민등록번호 처리 관행을 점검하기 위한 사전 실태조사를 추진할 계획이다. 법적 근거 없이 주민등록번호를 관행적으로 처리하는 사례가 있는지 확인할 방침이다.
박진형 기자 jin@etnews.com
