'주민번호 암호화 미흡'…개보위, 롯데카드에 과징금 96억

주민등록번호 암호화 등의 조치를 하지 않아 45만 명의 주민등록번호 유출 사고가 발생한 롯데카드에 대해 개인정보보호위원회가 과징금 96억 2천만 원과 과태료 480만 원을 부과했습니다.

개인정보위는 어제(11일) 전체회의를 열고 롯데카드의 개인정보보호법 위반 행위에 대해 이 같은 과징금·과태료 부과와 시정 및 공표 명령을 의결했습니다.

이번 조사는 지난해 9월 금융감독원이 롯데카드의 개인신용정보 누설 신고 사실을 개인정보위에 통보하면서 시작됐습니다.

조사 결과 롯데카드의 온라인 간편결제 시스템이 해킹되면서 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출됐습니다.

이 가운데는 약 45만 명의 주민등록번호도 포함된 것으로 드러났습니다.

개인신용정보 처리에 대해서는 신용정보법이 우선 적용되는 만큼 금융당국과 개인정보위가 역할을 나눠 조사했습니다.

금융 당국은 정보 유출과 관련한 안전조치 의무 위반 여부를 중심으로 신용정보법 적용 여부를 살폈고, 개인정보위는 주민등록번호 처리 과정에서 개인정보 보호법 위반이 있었는지 조사했습니다.

개인정보위 관계자는 "주민등록번호를 포함한 전체 정보 유출 사건과 관련된 안전조치 위반 여부에 대해서는 금융 당국이 판단할 사안"이라며 "개인정보위는 주민등록번호 처리를 제한하지 않고 암호화 조치를 하지 않은 부분에 대해서만 판단했다"고 말했습니다.

SK텔레콤이 대규모 개인정보 유출로 1천348억 원의 과징금을 부과받은 사례와 비교해 과징금이 적은 것 아니냐는 지적이 나왔지만, 이번 사건은 개인정보위가 주민등록번호 처리 제한 및 암호화 조치 위반 여부만을 판단했다는 점에서 단순 비교는 적절하지 않다고 개인정보위는 설명했습니다.

개인정보위 조사 결과 롯데카드는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 개인정보를 평문 형태로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리한 것으로 나타났습니다.

현행 개인정보보호법은 법률이나 대통령령 등에서 처리를 요구하거나 허용한 경우, 또는 정보주체나 제3자의 급박한 생명·신체·재산 보호를 위해 명백히 필요한 경우 등에만 주민등록번호 처리를 허용하고 있습니다.

로그 파일에 대한 암호화 조치도 충분히 이뤄지지 않았던 것으로 조사됐습니다.

개인정보위는 이러한 관행이 이번 해킹 사고에서 대규모 개인정보 유출로 이어진 원인 중 하나로 보고 있습니다.

개인정보위는 이번 과징금 산정의 기준이 되는 '매출'을 '온라인 결제 서비스'로 한정했습니다.

개인정보위 관계자는 "주민등록번호가 저장된 로그가 온라인 결제 과정에서 발생한 만큼, 온라인 결제 서비스 관련 매출만 과징금 산정 대상 포함했다"고 말했습니다.

개인정보위는 과징금과 과태료 부과에 더해 개인정보 처리 현황 전반을 점검하고 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 체계를 정비하도록 시정 명령했습니다.

(사진=연합뉴스)