개인정보보호위원회가 롯데카드에 대해 법적 근거 없이 주민등록번호를 처리한 행위와 그 과정에서 충분한 암호화를 적용하지 않은 행위 등을 이유로 과징금 96억2000만원을 12일 부과했다.
개인정보위는 전날 제4회 전체회의를 열고, 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억2000만원과 과태료 480만원을 부과하고, 처분 받은 사실을 홈페이지에 공표하도록 명령했다.
이어 전반적인 개인정보 처리 현황을 점검 및 개선하고, 개인정보 보호책임자(CPO)의 책임‧독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하도록 시정조치를 명했다.
이날 관련 브리핑을 진행한 윤여진 개인정보보호위원회 조사1과장은 “과징금은 온라인 결제 서비스에 한정한 매출액 기준으로 정해졌다”라며 “로그 파일에 주민등록번호 13자리가 보이게 저장돼 있었다”라고 과징금 산정 기준과 법 위반 사항에 대해 설명했다.
개인정보위는 지난해 9월 22일 금융감독원에서 롯데카드의 ‘개인신용정보 누설 신고 사실’을 전달받고 관련 사실 확인을 위해 조사에 착수했다.
이에 롯데카드의 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출됐으며 그 중 45만명의 주민등록번호도 함께 유출된 사실을 확인했다.
금융당국은 롯데카드의 개인신용정보 유출과 관련한 안전조치의무를 중심으로 신용정보법 위반 여부를 확인했다. 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사했다.
개인정보위 조사 결과에 따르면 롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 처리했다. 아울러 로그 파일에 대한 암호화 조치도 충분히 하지 않았다.
또한 로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 한다. 롯데카드는 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장했다. 이는 이번 해킹사고가 대규모 개인정보 유출로 이어진 원인 중 하나로 파악됐다.
개인정보위는 이달 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태점검을 추진할 계획이다.
다만 이번 해킹 사고는 기업 매출액의 10%에 달하는 ‘징벌적 과징금’ 대상은 아니다. 앞서 개인정보위는 개인정보 유출 사고로 사회적 우려가 커지고 있기에 징벌적 과징금 도입 등의 내용을 골자로 하는 개인정보 보호법 개정안을 10일 공포했다.
개정안 시행은 9월 11일부터로, 롯데카드는 대상에서 벗어났다.
윤 과장은 “해킹 사고 발생이 되고도 그 위반 행위가 지속되고 있다면 적용될 수도 있다”고 말했다.
