롯데카드 '해킹 책임'에 과태료 1125만원…연계정보 안전조치 위반

(서울=뉴스1) 김민수 기자 = 방송미디어통신위원회가 연계정보 안전조치 의무를 위반한 롯데카드에 과태료 1125만원을 부과했다.

방미통위는 29일 제5차 위원회를 열고 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 연계정보 안전조치 의무를 위반한 롯데카드에 과태료 1125만원 부과와 개선 권고를 의결했다고 밝혔다.

이번 처분은 지난해 발생한 롯데카드 정보유출 사고와 관련해 연계정보(CI)가 유출된 사실이 확인된 데 따른 것이다. 방미통위는 지난해 9월부터 11월까지 특별점검을 실시했다.

연계정보는 온라인에서 특정 개인을 식별하기 위해 주민등록번호를 암호화한 값이다. 온라인 본인확인과 서비스 연계 등에 쓰이는 개인식별용 전자정보다.

점검 결과 롯데카드는 모바일·온라인 카드결제를 지원하는 '페이서비스' 운영 과정에서 온라인 결제 서버에 연계정보와 주민등록번호 등이 포함된 로그를 암호화하지 않은 평문 상태로 노출하고 있었던 것으로 확인됐다.

해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 악용해 정보를 유출했다. 유출 정보에는 약 129만명의 연계정보가 포함됐고, 이 중 45만명은 주민등록번호도 함께 유출된 것으로 조사됐다.

방미통위는 롯데카드가 연계정보를 안전하게 처리하기 위한 내부규정과 침해사고 발생 시 대응계획을 마련하지 않는 등 필수 안전조치 의무를 지키지 않았다고 판단했다.

방미통위는 안전조치 미비가 대규모 유출로 이어진 점, 위반 상태가 법 시행일인 지난해 5월 21일 이후 3개월 이상 지속된 점 등을 고려해 기준 금액의 2분의 1을 가중했다. 이에 따라 과태료는 1125만원으로 정해졌다.

주민등록번호와 연계정보 분리 보관, 연계정보 저장 시 암호화, 연계정보 제공기관·시기 등에 관한 자료 기록·보관 등 3개 항목은 2027년 5월 1일 시행 예정이어서 과태료 부과 대상에서는 제외됐다. 방미통위는 해당 항목들이 이번 사고와 관련이 있다고 보고 시행 전 개선을 권고했다.

이번 처분은 대규모 정보유출 사고에도 현행 제재가 과태료 수준에 머무는 한계를 드러낸 사례다. 이날 회의에서도 위원들은 제재 실효성을 높이기 위한 법제 정비 필요성을 제기했다.

방미통위는 앞으로 실태점검 항목에 주민등록번호와 연계정보 분리 보관 준수 여부 등을 포함하고, 이용자 보호 방안 마련을 위한 연구반 운영과 분리 보관 유예기간 단축 등 제도 개선을 추진할 계획이다.

김종철 방미통위원장은 "연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것"이라며 "앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다"고 말했다.

kxmxs4104@news1.kr