로그에 주민번호 그대로 저장…롯데카드에 과징금 96억(종합)

-해킹으로 297만명의 개인정보 유출. 45만명은 주민등록번호까지 유출
-금융당국 조사는 현재 진행 중...처분 예정

[파이낸셜뉴스] 온라인 결제 시스템 로그에 주민등록번호를 암호화 없이 저장하다 고객 개인정보가 유출된 롯데카드가 96억 원대 과징금을 부과받았다. 해킹으로 약 297만 명의 개인신용정보가 유출되고 이 가운데 45만 명의 주민등록번호까지 함께 유출된 것으로 확인됐다.

개인정보보호위원회는 지난 11일 제4회 전체회의를 열고 개인정보보호법을 위반한 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과하고 시정 및 공표 명령을 의결했다고 12일 밝혔다.

이번 사안은 금융당국과 개인정보위가 각각 역할을 나눠 조사했다. 개인신용정보 유출과 관련한 안전조치 의무 위반 여부는 금융당국이 신용정보법을 근거로 조사하고 있으며, 개인정보위는 주민등록번호 처리와 관련한 개인정보보호법 위반 여부를 중심으로 조사했다.

개인정보위 조사 결과, 롯데카드는 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 다수의 개인정보를 기록해 온 것으로 확인됐다. 특히 해당 정보가 암호화 없이 저장돼 있어 해킹 발생 시 민감 정보가 그대로 노출될 수 있는 구조였던 것으로 나타났다.

현행 개인정보보호법은 주민등록번호 처리를 원칙적으로 금지하고 있으며 법률에 근거가 있는 경우 등 제한적인 상황에서만 허용한다. 그러나 롯데카드는 이러한 법적 근거 없이 로그 기록에 주민등록번호를 포함해 처리한 것으로 확인됐다. 또 로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 하지만, 롯데카드는 별도의 검토 없이 다수의 개인정보를 저장해 온 것으로 조사됐다. 개인정보위는 이 같은 관행이 이번 해킹 사고가 대규모 개인정보 유출로 이어진 주요 원인 중 하나로 판단했다.

개인정보위는 법적 근거 없이 주민등록번호를 처리한 행위와 암호화 조치를 충분히 하지 않은 점을 개인정보보호법 위반으로 판단해 과징금과 과태료를 부과했다. 또 처분 사실을 회사 홈페이지에 공표하도록 명령하고 개인정보 처리 체계 전반을 점검·개선하도록 시정 조치를 내렸다. 이와 함께 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 관리 체계 전반을 정비하도록 했다.

개인정보위 윤여진 조사1과장은 이날 정부서울청사에서 열린 브리핑에서 "롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 저장해 온 것이 이번 해킹 사고가 대규모 개인정보 유출로 이루어진 원인 중 하나"라며 "특히 지난 2014년 주민등록번호 법정주의가 도입된 지 10년이 훨씬 넘었음에도 여전히 주민등록번호를 관행적으로 과도하게 처리하고 있다"고 지적했다.

특히 1348억원의 과징금이 부과된 SKT와의 처분 차이에 대해서는 "금융당국과 개인정보위 역할이 분담되어 있고, 금융당국이 현재 개인 신용정보 유출과 관련한 안전조치 위반에 대해서 조사를 하고 있다"면서 "관련 처분은 추후에 이루어질 예정"이라고 말했다.

한편 개인정보위는 이번 사건을 계기로 금융권 전반의 주민등록번호 처리 관행에 대한 점검에도 나선다. 법적 근거 없이 주민등록번호를 처리하거나 과도하게 활용하는 사례가 있는지 여부를 중심으로 금융 분야 사업자에 대한 사전 실태 점검을 이달 추진할 예정이다.

yjjoe@fnnews.com 조윤주 기자