개인정보보호위원회는 3월 11일 제4회 전체회의를 열고 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억2000만 원과 과태료 480만 원을 부과하고 시정 및 공표 명령을 의결했다고 밝혔다.

이번 조치는 롯데카드의 온라인 간편결제 시스템 해킹으로 이용자 개인정보가 대규모로 유출된 사건에 따른 것이다. 개인정보위는 2025년 9월 22일 금융감독원으로부터 롯데카드의 개인신용정보 누설 신고 사실을 통보받고 관련 사실 확인을 위한 조사에 착수했다.

조사 결과, 롯데카드의 온라인 결제 시스템이 해킹되면서 로그 파일에 기록된 약 297만 명의 개인신용정보가 유출됐으며 이 가운데 약 45만 명의 주민등록번호도 함께 유출된 것으로 확인됐다.

개인신용정보 처리와 관련해서는 「신용정보의 이용 및 보호에 관한 법률」이 「개인정보 보호법」에 우선 적용된다. 이에 따라 금융당국은 개인신용정보 유출과 관련한 안전조치 의무 위반 여부를 중심으로 신용정보법 위반을 조사했고, 개인정보위는 주민등록번호 처리 과정의 적법성 여부를 중심으로 개인정보 보호법 위반 여부를 조사했다.

개인정보위 조사에 따르면 롯데카드는 온라인 결제 관련 로그 파일에 주민등록번호를 포함한 다수의 개인정보를 평문 형태로 기록하는 등 법에서 허용한 범위를 넘어 주민등록번호를 처리한 것으로 나타났다. 또한, 로그 파일에 대한 암호화 조치 역시 충분히 이루어지지 않은 것으로 확인됐다.

특히 로그 파일에는 불가피한 경우 최소한의 개인정보만 기록해야 함에도 롯데카드는 별도의 검토 없이 주민등록번호 등 다수의 개인정보를 로그에 저장해 왔으며, 이러한 관행이 해킹 발생 시 대규모 개인정보 유출로 이어진 원인 중 하나로 파악됐다.

개인정보위는 법적 근거 없이 주민등록번호를 처리한 행위와 해당 정보에 대해 충분한 암호화 조치를 하지 않은 행위에 대해 과징금 96억2000만 원과 과태료 480만 원을 부과하고, 처분 사실을 롯데카드 홈페이지에 공표하도록 명령했다.

아울러 롯데카드가 전반적인 개인정보 처리 현황을 점검·개선하고 개인정보 보호책임자(CPO)의 책임성과 독립성을 강화하는 등 개인정보 보호체계를 전면적으로 정비하도록 시정명령도 함께 내렸다.

개인정보위는 이번 사건을 계기로 금융 분야 사업자들이 법적 근거 없이 주민등록번호를 관행적으로 처리하고 있는지 여부에 대한 사전 실태점검을 추진할 계획이다. 해당 점검은 이달 중 실시될 예정이다.

개인정보위는 “사업자 스스로 개인정보 오남용에 대한 경각심을 갖고 개인정보 보호 원칙에 따라 개인정보 처리 현황을 주기적으로 점검하고 개선해야 한다”고 강조했다.

[경제엔미디어=장민철 기자]