대규모 개인정보 유출 사고를 일으킨 롯데카드가 개인정보보호위원회로부터 대규모 과징금을 부과받았다.

개인정보보호위원회는 제4회 전체회의를 열고 개인정보 보호 법규를 위반한 롯데카드㈜에 대해 과징금 96억 2,000만 원과 과태료 480만 원을 부과하고, 시정 및 공표 명령을 의결했다고 밝혔다.

이번 조치는 금융감독원이 2025년 9월 개인신용정보 유출 사실을 통보하면서 시작된 조사 결과에 따른 것이다.

조사 결과, 롯데카드의 온라인 간편결제 시스템이 해킹되면서 약 297만 명의 개인신용정보가 유출됐고, 이 가운데 약 45만 명의 주민등록번호도 포함된 것으로 확인됐다.

특히 문제는 정보 관리 방식이었다. 롯데카드는 결제 과정에서 생성되는 로그 파일에 주민등록번호를 포함한 다양한 개인정보를 암호화하지 않은 ‘평문’ 형태로 저장해 온 것으로 드러났다.

현행 법령상 로그에는 최소한의 정보만 기록해야 하지만, 별도의 검토 없이 과도한 개인정보를 저장한 점이 대규모 유출로 이어진 주요 원인으로 지목됐다.

이번 사건은 신용정보법과 개인정보 보호법이 동시에 적용된 사례다. 금융당국은 개인신용정보 관리 측면에서 법 위반 여부를, 개인정보위는 주민등록번호 처리의 적법성 여부를 중심으로 각각 조사했다.

개인정보위는 법적 근거 없이 주민등록번호를 처리하고, 충분한 암호화 조치를 하지 않은 점을 중대한 위반으로 판단했다. 이에 과징금과 과태료 부과와 함께, 해당 사실을 홈페이지에 공표하도록 명령했다.

아울러 개인정보 처리 전반에 대한 점검과 개선, 개인정보 보호책임자(CPO)의 독립성 강화 등 내부 관리체계 전면 정비도 요구했다.

이번 사건을 계기로 금융권 전반에 대한 점검도 확대된다. 개인정보위는 불필요한 주민등록번호 처리 관행 여부를 확인하기 위해 금융 분야 사업자를 대상으로 사전 실태점검을 추진할 계획이다.

개인정보위는 “사업자 스스로 개인정보 오남용에 대한 경각심을 갖고 정기적인 점검과 개선에 나서야 한다”고 강조했다.

이번 사태는 단순한 해킹이 아니라 ‘관리 부실’이 키운 인재에 가깝다. 개인정보 보호는 기술 문제가 아니라 기본 원칙의 문제라는 점을 다시 한번 보여준 사례다.

[비즈데일리 유정흔 기자]