방송통신위원회(위원장 김종철)는 29일 전체 회의를 열고, 정보통신망법을 위반한 롯데카드에 과태료 1,125만 원을 부과하고 개선을 권고하기로 결정했습니다.
롯데카드는 지난해 발생한 정보 유출 사고와 관련해 연계정보(CI, Connecting Information)가 유출된 사실이 확인됐습니다. 연계정보는 주민등록번호를 암호화한 값으로 온라인상에서 개인을 식별하는 데 사용되는 중요한 개인식별 정보입니다.
방통위가 지난해 9월부터 11월까지 실시한 특별점검 결과, 롯데카드는 모바일과 온라인 환경에서 카드 결제를 지원하는 '페이 서비스'를 운영하면서 결제 서버에 연계정보와 주민등록번호가 포함된 로그(기록)를 암호화하지 않고 평문(原文) 상태로 노출하고 있었습니다. 해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 악용해 정보를 빼낸 것으로 드러났습니다.
이번 유출로 약 129만 명의 연계정보가 빠져나갔으며, 특히 이 가운데 45만 명은 주민등록번호까지 함께 유출된 것으로 확인됐습니다. 점검 과정에서 롯데카드는 연계정보의 안전한 처리를 위한 내부 규정을 세우지 않았고, 침해 사고 발생 시 대응 계획도 마련하지 않은 사실이 추가로 드러났습니다.
방통위는 안전조치 미비가 대규모 유출로 이어진 점과 위반 상태가 관련 법 시행(지난해 5월 21일) 이후 3개월 이상 지속된 점을 근거로 과태료 기본 금액의 2분의 1을 가중해 최종 1,125만 원을 부과하기로 했습니다.
아울러 현재 법적 의무 적용 시기가 도래하지 않은 세 가지 항목에 대해서도 개선을 권고했습니다. 이 항목은 ▲주민등록번호와 연계정보 분리 보관 ▲연계정보 저장 시 암호화 ▲연계정보 제공 기관과 시기 등에 관한 자료 기록·보관입니다. 방통위는 이번 유출 사고의 주요 원인이 된 점을 고려해 시행 전이라도 보안 공백을 최소화하고 이용자 피해를 방지하기 위한 행정지도 차원에서 권고했습니다.
방통위는 앞으로 실태점검 항목에 주민등록번호와 연계정보 분리 보관 준수 여부를 포함해 연계정보 운영 관리 실태를 지속적으로 점검할 계획입니다. 또한 이용자 보호 방안을 마련하기 위한 연구반 운영과 함께 주민등록번호와 연계정보 분리 보관 유예 기간 단축 등 제도 개선도 추진할 예정입니다.
김종철 방통위원장은 "연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정히 조치할 것"이라며 "앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리·감독을 강화하겠다"고 말했습니다.
