'연계정보 안전조치 의무 위반' 롯데카드에 과태료 부과

방송통신위원회(위원장 김종철)는 29일 롯데카드㈜에 대해 정보통신망법 위반을 이유로 과태료 1,125만 원을 부과하고 개선을 권고했다고 밝혔다. 이번 조치는 롯데카드가 연계정보(CI)를 안전하게 보호해야 할 의무를 지키지 않은 데 따른 것이다.

연계정보는 온라인에서 개인을 식별하기 위해 주민등록번호를 암호화한 값으로, 개인식별용 전자정보다. 방통위는 지난해 롯데카드에서 발생한 정보유출 사고와 관련해 특별점검을 벌였고, 그 결과 연계정보 유출 사실을 확인했다.

점검 결과 롯데카드는 모바일과 온라인 환경에서 카드결제를 지원하는 '페이 서비스'를 운영하면서 결제 서버에 연계정보와 주민등록번호가 포함된 로그를 암호화하지 않고 평문 상태로 노출한 것으로 드러났다. 해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 노려 정보를 빼돌렸다. 이번 사고로 약 129만 명의 연계정보가 유출됐으며, 이 중 45만 명은 주민등록번호까지 함께 유출된 사실이 확인됐다.

방통위 점검에서 롯데카드는 연계정보 처리를 위한 내부 규정을 마련하지 않았고, 침해사고 발생 시 대응 계획도 세우지 않은 것으로 나타났다. 이러한 안전조치 의무를 전혀 이행하지 않은 점이 대규모 유출로 이어졌다는 게 방통위의 판단이다. 위반 상태가 지난해 5월 법 시행 이후 3개월 이상 지속된 점도 과태료 산정에 반영됐다.

이에 방통위는 과태료 기본액의 2분의 1을 가중해 총 1,125만 원을 부과하기로 결정했다. 아울러 아직 법적 의무 기한이 도래하지 않은 세 가지 항목에 대해서는 개선을 권고했다. 해당 항목은 주민등록번호와 연계정보 분리 보관, 연계정보 저장 시 암호화, 연계정보 제공 기관과 시기 등에 관한 자료 기록·보관이다. 이 세 항목은 내년 5월 시행 예정이지만, 이번 유출 사고의 주요 원인이 된 점을 고려해 시행 전에도 보안 공백을 최소화하도록 행정지도 차원에서 권고한 것이다.

방통위는 앞으로 실태점검 항목에 주민등록번호와 연계정보 분리 보관 준수 여부를 포함해 연계정보 운영 관리 실태를 점검할 계획이다. 또한 이용자 보호 방안 마련을 위한 연구반을 운영하고, 분리 보관 유예 기간 단축 등 제도 개선도 추진하기로 했다.

김종철 방통위원장은 "연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것"이라며 "앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다"고 말했다.



출처: 대한민국 정책브리핑 [원문보기]

⚖️ 본 콘텐츠는 AI가 재구성한 것으로, 저작권은 원 저작자(대한민국 정책브리핑)에게 있습니다. 저작권자 요청 시 즉시 삭제됩니다.