주민번호 암호화값 129만건 유출
45만건은 주민번호도 노출돼
내부 규정·사고 대응계획 미수립
기준 과태료에서 50% 가중
김종철 방송미디어통신위원장이 29일 정부과천청사에서 열린 ‘2026년 제5차 전체회의’에서 의사봉을 치고 있다. <사진=방송미디어통신위원회> 방송미디어통신위원회가 연계정보(CI) 안전조치 의무를 위반한 롯데카드에 과태료 1125만원을 부과했다. 지난해 정보유출 사고 과정에서 연계정보가 평문 상태로 노출된 사실이 확인된 데 따른 조치다.
29일 방미통위는 정부과천청사에서 제5차 위원회를 열고 롯데카드에 과태료 1125만원 부과와 개선 권고를 의결했다. 연계정보는 온라인에서 동일인 여부를 확인하기 위해 주민등록번호를 암호화한 개인식별 정보다.
방미통위 점검 결과 유출 정보에는 129만명의 연계정보가 포함됐다. 이 가운데 45만명은 주민등록번호도 함께 유출된 것으로 확인됐다. 원인으로는 롯데카드가 모바일·온라인 결제를 지원하는 페이 서비스 운영 과정에서 온라인 결제 서버 로그에 연계정보와 주민등록번호 등을 암호화하지 않은 채 남긴 것으로 조사됐다. 해커는 로그가 암호화되기 전,평문으로 기록되는 시간대를 악용해 정보를 빼낸 것으로 파악됐다.
방미통위는 롯데카드가 필수 안전조치 의무를 지키지 않았다고 판단했다. 연계정보의 안전한 처리를 위한 내부 규정을 마련하지 않았고,침해사고 대응계획도 세우지 않았기 때문이다. 또한 위반 상태가 법 시행 뒤 3개월 넘게 이어졌고,안전조치 미비가 대규모 유출로 이어진 점을 반영했다. 이에 과태료 기준금액 750만원에 50%를 가중했다는 설명이다.
다만 아직 법적 의무 시행 시점이 남아 있는 항목은 과태료 대상에서는 제외됐다. 주민등록번호와 연계정보 분리 보관,연계정보 저장 시 암호화,연계정보 제공기관 관련 자료 기록·보관 등은 내년 5월 시행 예정이다. 대신 방미통위는 이들 항목이 이번 사고 원인과 맞닿아 있다고 보고,개선 권고를 함께 내렸다.
앞으로 방미통위는 실태점검 항목에 주민등록번호와 연계정보 분리 보관 여부 등을 포함하고,관련 연구반 운영과 제도 개선도 추진할 계획이다.
김종철 방미통위원장은 “롯데카드는 금융회사임에도 연계정보 유출 방지를 위한 안전 조치를 하지 않아 과태료를 부과하고 개선 사항을 의결했다”며 “연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것”이라고 말했다.
