129만 고객 연계정보 유출…방미통위, 롯데카드에 과태료 1125만원 부과

[파이낸셜뉴스] 방송미디어통신위원회는 29일 '2026년 제5차 위원회'를 개최하고 연계정보(CI) 안전조치 의무를 위반한 롯데카드에 과태료 1125만원을 부과하고, 개선 권고를 의결했다고 밝혔다.

연계정보란 온라인상에서 특정 개인을 식별하기 위해 주민번호를 암호화한 값으로 개인식별용 전자정보다.

이번 조치는 지난해 발생한 롯데카드의 정보유출 사고와 관련해 CI가 유출된 사실을 인지함에 따라 실시한 특별점검의 결과로, 점검은 지난해 9월부터 11월에 걸쳐 실시됐다.

점검 결과 롯데카드는 모바일·온라인 환경의 카드결제를 지원하는 '페이서비스' 운영 과정에서 온라인 결제 서버에 연계정보와 주민등록번호 등이 포함된 기록(로그)을 암호화하지 않은 '평문상태'로 노출하고 있었던 것으로 확인됐다. 해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 악용해 정보를 유출했다.

이로 인해 유출된 정보 중에는 약 129만명의 연계정보가 포함돼 있으며, 특히 이 중 45만명은 주민등록번호와 같이 유출된 사실을 확인했다.

롯데카드는 연계정보의 안전한 처리를 위한 내부규정 미수립, 침해사고 발생 시 대응계획 미수립 등 필수적인 안전조치 의무를 이행하지 않은 사실이 확인됐다.

이에 방미통위는 안전조치 미비가 대규모 유출로 이어진 점, 위반 상태가 법 시행 이후 3개월 이상 지속된 점 등을 근거로 과태료 금액의 2분의 1을 가중해 1125만원의 과태료를 부과하기로 결정했다.

아울러 아직 법적 의무 기한이 도래하지 않은 △주민등록번호와 연계정보 분리 보관 △연계정보 저장 시 암호화 △연계정보 제공기관·시기 등에 관한 자료의 기록·보관 등 3개 항목에 대해서는 개선 권고를 의결했다.

이는 해당 항목들이 이번 연계정보 유출사고의 주요 원인이 된 점을 고려해 시행 전이라도 보안 공백을 최소화하고, 이용자 피해를 방지하기 위한 행정지도 차원의 조치다.

방미통위는 향후 실태점검 항목에 주민등록번호와 연계정보 분리 보관 준수 여부 등을 포함ㅙ 연계정보 운영관리 실태를 점검하고, 이용자 보호 방안 마련을 위한 연구반 운영과 함께 주민등록번호와 연계정보 분리 보관 유예기간 단축 등 제도개선을 추진할 예정이다.

김종철 방미통위원장은 "연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것"이라며 "앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다"고 말했다.

mkchang@fnnews.com 장민권 기자