지난해 고객 297만명의 정보가 유출된 롯데카드에 과징금 96억여원이 부과됐다.

개인정보보호위원회는 11일 전체회의를 열어 롯데카드에 대해 과징금 96억2000만원, 과태료 480만원을 부과하고 시정 및 공표명령을 의결했다고 12일 밝혔다.

개인정보위는 지난해 9월 22일 금융감독원으로부터 롯데카드의 개인신용정보 누설 신고 사실을 전달받고 조사에 착수했다. 그 결과 롯데카드의 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출됐으며, 그 중 45만명의 주민등록번호도 함께 유출된 사실을 확인했다.

개인정보위에 따르면 롯데카드는 온라인 결제와 관련된 로그(컴퓨터 작업 기록)에 주민번호를 포함한 다수의 개인정보를 평문으로 기록하는가 하면 로그 파일에 대한 암호화 조치도 충분히 하지 않은 것으로 조사됐다.

또 주민번호를 포함한 다수의 개인정보를 별도 검토 없이 로그파일에 저장해온 것이 해킹사고를 대규모 개인정보 유출로 이어지게 한 원인 중 하나로 파악됐다.

개인정보위는 “로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 한다”고 지적했다.

개인정보위는 롯데카드가 법적 근거 없이 주민번호를 처리한 행위, 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대해 ‘매우 중대한 위반’으로 판단, 과징금·과태료를 각각 부과하고 처분 사실을 회사 홈페이지에 공표토록 명령했다.

더불어 전반적인 개인정보 처리 현황을 점검 및 개선하고, 개인정보 보호책임자(CPO)의 책임·독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하도록 시정조치를 내렸다.

개인정보위는 금융분야 사업자들이 법적 근거나 필요성 없이 주민등록번호를 관행적으로 처리하는지 여부에 대한 사전 실태점검을 이달 중으로 추진한다고 밝혔다.

한편 개인정보위가 롯데카드의 주민번호 등 개인정보 유출에 대한 조사와 결정을 마무리한 가운데 금융당국도 이 회사에서 발생한 개인신용정보 유출과 관련한 조사를 별도 진행 중이다.

이재걸 기자 claritas@naeil.com