[대한경제=최장주 기자] 온라인 간편결제 시스템 해킹으로 고객 297만명의 개인정보를 유출한 롯데카드가 개인정보보호위원회로부터 96억2000만원의 과징금과 480만원의 과태료 처분을 받았다.

12일 개인정보위는 전날 전체회의를 열고 개인정보보호법을 위반한 롯데카드에 대해 이 같은 내용의 제재와 함께 시정명령, 위반 사실 공표를 의결했다. 이번 조사는 지난해 9월 금융감독원이 롯데카드의 ‘개인신용정보 누설’ 신고 사실을 개인정보위에 통보하면서 시작됐다.

조사 결과 롯데카드 온라인 간편결제 시스템이 해킹되면서 결제 과정에서 생성된 로그 파일에 기록돼 있던 이용자 약 297만명의 개인신용정보가 외부로 유출된 것으로 드러났다. 이 중 약 45만명의 주민등록번호도 포함된 것으로 파악됐다.

개인정보위는 롯데카드가 온라인 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 다수의 개인정보를 암호화하지 않은 평문 형태로 저장하는 등 법이 허용한 범위를 넘어 주민등록번호를 처리한 것으로 판단했다.

현행 개인정보보호법은 법률이나 대통령령에서 처리를 요구하거나 허용한 경우, 또는 정보주체·제3자의 급박한 생명·신체·재산 보호에 명백히 필요한 경우 등에 한해 주민등록번호 처리를 예외적으로 허용하고 있다. 개인정보위는 롯데카드가 이러한 예외 사유에 해당하지 않는데도 주민등록번호를 로그에 저장하고 충분한 암호화 조치를 취하지 않은 점을 중대한 위반으로 봤다.

과징금은 주민등록번호가 저장된 로그가 온라인 결제 과정에서 발생한 점을 고려해 롯데카드 전체가 아닌 ‘온라인 결제 서비스’ 관련 매출만을 기준으로 산정됐다.

롯데카드는 제재와 관련해 사과 입장을 내고 재발 방지를 약속했다. 롯데카드는 “지난해 사이버 침해 사고로 인하여 불편과 심려를 끼쳐 드린 점에 대해 다시 한번 깊이 사과 드린다”며 “향후 재발 방지와 개인정보 보호 강화를 위해 최선의 노력을 다할 것을 약속 드린다”고 말했다.

다만, 과징금 처분에 대해 향후 이의 절차를 통해 소명을 이어나가겠다는 방침이다. 회사는 “사고 사실을 자진 신고하고 위원회 조사에도 성실히 임했다”며 “법적 근거 조항 등 소명한 내용이 충분히 반영되지 못한 부분에 대해서는 의결서를 수령한 뒤, 내용을 면밀히 검토해 가능한 이의절차를 통해 계속 소명해 나갈 것”이라고 밝혔다.

최장주 기자 cjj323@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉