송경희 개인정보보호위원회 위원장이 11일 오후 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 전체회의를 주재하고 있다.
온라인 결제 시스템 해킹으로 약 297만 명의 개인정보를 유출한 롯데카드가 96억 원대의 대규모 과징금 처분을 받게 됐다. 조사 결과, 주민등록번호 등 민감한 개인정보를 암호화하지 않은 채 '평문'으로 저장하는 등 보안 조치를 소홀히 한 사실이 드러났다.
개인정보보호위원회(이하 개인정보위)는 지난 11일 전체회의를 열고, 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억 2,000만 원과 과태료 480만 원 부과를 의결했다고 12일 밝혔다. 이와 함께 위반 사실의 홈페이지 공표와 개인정보 보호 체계 전면 점검을 골자로 한 시정 명령도 내렸다.
해킹으로 드러난 보안 불감증… 45만 명 주민번호 유출
이번 조사는 지난해 9월 금융감독원이 롯데카드의 개인신용정보 누설 사실을 통보하면서 시작됐다. 조사 결과, 롯데카드의 온라인 간편결제 시스템이 해킹되면서 시스템 로그 파일에 기록되어 있던 이용자 약 297만 명의 신용정보가 외부로 유출된 것으로 확인됐다. 특히 유출된 정보 중에는 45만 명의 주민등록번호가 포함되어 있어 2차 피해 우려가 제기됐다.
"불가피한 정보만 남겨야 하는데"… 평문 저장·암호화 미흡
개인정보위의 조사에 따르면, 롯데카드는 온라인 결제 과정에서 생성되는 작업 기록인 '로그 파일'에 주민등록번호 등 다수의 개인정보를 별도의 암호화 조치 없이 '평문(Plain Text)' 형태로 저장해온 것으로 드러났다.
로그 파일은 원칙적으로 불가피한 경우에 한해 최소한의 정보만 기록해야 한다. 그러나 롯데카드는 주민등록번호 처리에 대한 법적 근거가 없음에도 이를 관행적으로 로그에 남겼으며, 이에 대한 충분한 검토나 보안 조치도 적용하지 않았다. 개인정보위는 이러한 보안 소홀이 대규모 유출 사고의 결정적 원인이 되었다고 판단했다.
금융권 주민번호 처리 실태 전면 점검 예고
개인정보위는 이번 처분과 더불어 롯데카드 측에 개인정보 보호책임자(CPO)의 독립성을 강화하고 보호 체계를 전면 정비할 것을 요구했다. 또한, 이달 중 금융권 전반을 대상으로 주민등록번호 처리 실태를 점검할 예정이다. 법적 근거 없이 관행적으로 주민번호를 수집·저장하는 행위를 중점적으로 살피겠다는 취지다.
개인정보위 관계자는 "이번 사건을 계기로 사업자들이 개인정보 오남용에 대한 경각심을 가져야 한다"며 "보호 원칙에 따라 개인정보 처리 현황을 주기적으로 점검하고 개선할 필요가 있다"고 강조했다.
Copyright ⓒ 코리아이글뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
