.png)
.png)
|
지난해 9월 롯데카드 해킹사고로 이용자 연계정보 유출 사실이 확인됨에 따라 방미통위는 같은 달 22일부터 12월 6일까지 방미통위와 한국인터넷진흥원(KISA)으로 구성된 합동점검반을 꾸려 긴급점검을 실시했다.
점검 결과 롯데카드 온라인 결제 서버 로그에 연계정보가 평문으로 포함돼 있었으며, 해커는 이를 수시로 유출한 것으로 확인됐다. 유출된 정보 중 연계정보는 129만명분이며, 이 가운데 45만명은 주민번호도 함께 유출됐다.
방미통위는 이번 점검에서 롯데카드가 정보통신망법 제23조의6에서 정한 연계정보 안전조치 의무를 이행하지 않은 사실을 확인했다. 구체적으로는 침해사고 대응계획을 수립하지 않은 점이 위반사항으로 적시됐다. 롯데카드는 점검 이후 이를 수립 완료했다. 연계정보 취급자 교육 및 처리실태 정기점검도 미실시한 것으로 나타나 올해 5월 20일 이내 실시하도록 개선 권고가 내려졌다.
다만 연계정보와 주민번호 분리보관, 암호화 등 일부 안전조치 사안은 2027년 5월 시행 예정으로, 현 시점에서는 법령 위반에 해당하지 않아 제재 처분을 내리지 못했다. 방미통위는 시행 전 안전조치 미이행 3개 사안에 대해서는 사고 재발 방지를 위한 개선권고 조치를 취하기로 했다.
과태료는 기준금액 750만원에서 피해가 중대하다는 점을 반영해 2분의 1 범위 내 가중한 1125만원이 부과됐다.
|
김종철 방미통위원장은 “연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것”이라며 “앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다”고 말했다.
앞서 개인정보보호위원회는 지난달 12일 전체회의에서 롯데카드에 과징금 96억2000만원과 과태료 480만원을 부과하고 시정·공표 명령을 의결했다. 금융감독원도 영업정지 4년5개월, 과징금 50억원 등 중징계안을 롯데카드에 사전 통지하고 지난 16일 제재심의위원회를 열었으나 일부 법리 적용에 대한 추가 검토가 필요하다는 의견이 나와 결론을 내지 못했다. 제재심 의결 이후 금융위원회 정례회의 추가 심의가 필요한 만큼 최종 확정까지는 시간이 더 걸릴 전망이다.
