[서울=뉴시스] 신효령 기자 = 온라인 결제 시스템 해킹으로 약 297만명의 개인정보를 유출한 롯데카드가 96억원대 과징금 처분을 받게 됐다. 정부 조사결과, 결제 로그 파일에 주민등록번호 등 개인정보를 평문으로 저장하는 등 보안 조치를 소홀히 한 것으로 드러났다.

개인정보보호위원회는 지난 11일 전체회의를 열고 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억2000만원과 과태료 480만원 부과를 의결했다고 12일 밝혔다. 이와 함께 위반 사실의 홈페이지 공표와 개인정보 보호체계 전면 점검을 골자로 한 시정 명령도 내렸다.

이번 조사는 지난해 9월 금융감독원이 롯데카드의 '개인신용정보 누설 사실'을 통보하면서 시작됐다. 조사 결과 롯데카드의 온라인 간편결제 시스템이 해킹되면서 로그 파일에 기록돼 있던 이용자 약 297만명의 개인신용정보가 외부로 유출된 것으로 확인됐다. 이 중 45만명의 주민등록번호도 함께 유출됐다.

'신용정보의 이용 및 보호에 관한 법률'(신용정보법)은 개인신용정보 처리에 적용되는 특별법이다. 개인신용정보와 관련된 사항은 신용정보법이 '개인정보 보호법'보다 우선 적용된다. 다만 신용정보법에 규정되지 않은 개인정보 처리에 대해서는 개인정보 보호법이 적용된다.

이에 따라 금융당국은 롯데카드의 개인신용정보 유출과 관련해 안전조치 의무 준수를 중심으로 신용정보법 위반 여부를 조사했다. 개인정보위는 롯데카드의 주민등록번호 처리에 초점을 맞춰 개인정보 보호법 위반 여부를 조사했다.

조사 결과 롯데카드는 온라인 결제 과정에서 생성되는 로그에 주민등록번호를 포함한 다수의 개인정보를 평문 형태로 저장하는 등 법에서 허용한 범위를 넘어 주민등록번호를 처리한 것으로 나타났다. 로그 파일에 대한 암호화 조치도 충분히 이뤄지지 않았다.

로그 파일은 시스템이나 네트워크에서 발생하는 작업 기록을 의미한다. 원칙적으로 불가피한 경우에 한해 최소한의 개인정보만 기록해야 한다. 개인정보위는 주민등록번호 등 개인 정보를 별다른 검토 없이 로그에 남겨온 점이 대규모 유출 사고 원인이 됐다고 판단했다.

개인정보위는 롯데카드가 법적 근거 없이 주민등록번호를 처리하고, 충분한 암호화 조치를 적용하지 않은 점을 위법 행위로 판단해 과징금 및 과태료를 부과했다고 밝혔다. 처분 사실을 회사 홈페이지에 공표하도록 했다.

아울러 개인정보 처리 전반을 점검하고 개선하도록 시정 조치를 내렸다. 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 체계를 전면 정비할 것도 요구했다.

개인정보위는 이달 중 금융권의 주민등록번호 처리 실태를 점검할 예정이다. 법적 근거 없이 주민등록번호를 관행적으로 처리하는지 여부를 중점적으로 살펴볼 계획이다.

개인정보위는 "이번 사건을 계기로 사업자들이 개인정보 오·남용에 대한 경각심을 갖고 개인정보 보호 원칙에 따라 개인정보 처리 현황을 주기적으로 점검하고 개선해야 한다"고 강조했다.


◎공감언론 뉴시스 snow@newsis.com