방송미디어통신위원회가 개인정보 보안 의무를 위반한 롯데카드에 1125만 원의 과태료를 부과했다.
지난 29일 방미통위는 정부과천청사에서 열린 제5차 위원회에서 롯데카드에 대한 과태료 부과와 개선 권고안을 의결했다고 밝혔다. 연계정보는 온라인상에서 본인 확인을 위해 주민등록번호를 암호화 처리한 개인식별정보를 말한다.
방미통위의 조사에 따르면 이번 유출 사건으로 129만명의 연계정보가 외부에 노출됐다. 이 중 45만명의 경우 주민등록번호까지 함께 유출된 것으로 나타났다.
유출 경위를 살펴보면 롯데카드가 모바일과 온라인 결제를 지원하는 페이 서비스를 운영하면서 온라인 결제 서버 로그에 연계정보와 주민등록번호를 암호화하지 않고 저장한 것이 원인으로 밝혀졌다.
뉴스1
해커들은 로그 정보가 암호화되기 이전 평문으로 기록되는 취약한 시점을 노려 개인정보를 탈취한 것으로 조사됐다.
방미통위는 롯데카드가 법정 안전조치 의무를 준수하지 않았다고 결론지었다. 연계정보의 안전한 관리를 위한 사내 규정을 제대로 마련하지 않았고, 보안사고 발생 시 대응방안도 수립하지 않았다는 것이다.
특히 위반 행위가 관련 법률 시행 후 3개월 이상 지속됐고, 안전조치 부실로 인해 대량의 개인정보가 유출된 점을 고려해 기준 과태료 750만 원에서 50%를 가중 부과했다고 설명했다.
다만 아직 법적 의무 적용 시점이 도래하지 않은 일부 항목들은 과태료 부과 대상에서 제외됐다.
주민등록번호와 연계정보의 분리 보관, 연계정보 저장 시 암호화 처리, 연계정보 제공기관 관련 자료의 기록과 보관 등은 내년 5월부터 의무화될 예정이다.
김종철 방송미디어통신위원장 / 뉴스1
방미통위는 이러한 항목들이 이번 사고와 직접적인 연관이 있다고 판단해 별도의 개선 권고를 함께 결정했다.
향후 방미통위는 정기 실태점검 시 주민등록번호와 연계정보 분리 보관 실태 등을 점검 항목에 추가하고, 관련 연구반 운영과 제도 보완 작업도 병행할 예정이라고 밝혔다.
김종철 방미통위원장은 "금융회사인 롯데카드가 연계정보 유출 방지를 위한 기본적인 안전조치도 이행하지 않아 과태료 부과와 개선사항을 의결했다"고 말했다.
이어 "연계정보는 개별 고객을 식별할 수 있는 핵심 정보인 만큼, 보안 관리가 부실한 사업자들에 대해서는 무관용 원칙으로 엄중하게 조치하겠다"고 강조했다.