개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 롯데카드에 과징금을 96억원을 부과했다. 해킹 과정에서 로그 파일에 저장된 이용자 정보가 대량으로 외부에 노출됐고 일부 이용자의 주민등록번호까지 함께 유출된 것으로 확인됐다.
개인정보위는 지난 11일 제4회 전체회의를 열고 개인정보 보호 법규를 위반한 롯데카드에 대해 과징금 96억2000만원과 과태료 480만원을 부과하고 시정 및 공표 명령을 의결했다고 12일 밝혔다.
이번 조사는 금융감독원이 지난해 9월 롯데카드의 개인신용정보 누설 신고 사실을 개인정보위에 통보하면서 시작됐다.
개인신용정보와 관련해서는 '신용정보의 이용 및 보호에 관한 법률(신용정보법)'이 개인정보보호법보다 우선 적용된다. 신용정보법에 규정되지 않은 개인정보 처리 사항에 대해서는 개인정보보호법이 적용된다. ▷관련기사: 롯데카드 정보유출 과징금 '50억이냐 800억이냐'…개보위 조사 관건(2025년 9월22일).
이에 금융당국은 롯데카드의 개인신용정보 유출과 관련해 안전조치 의무 준수 여부 등 신용정보법 위반 여부를 중심으로 점검했다. 개인정보위는 주민등록번호 처리 과정에서 개인정보보호법 위반이 있었는지를 중점적으로 조사했다.
조사 결과 롯데카드의 온라인 결제 시스템이 해킹되면서 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출된 것으로 나타났다. 이 가운데 약 45만명의 주민등록번호도 함께 외부로 유출된 것으로 파악됐다. ▷관련기사: 롯데카드, 297만명 정보유출…28만명은 CVC까지 다 털렸다(2025년 9월18일).
개인정보위 조사 결과에 따르면 롯데카드는 온라인 결제 과정에서 생성되는 로그에 주민등록번호를 포함한 다수의 개인정보를 평문(암호화되지 않은 원래 정보) 형태로 기록해 저장해 왔다. 이는 법에서 허용한 범위를 넘어 주민등록번호를 처리한 것으로 개인정보보호법 위반에 해당한다는 판단이다.
또한 로그 파일에 대한 암호화 조치도 충분히 이루어지지 않은 것으로 조사됐다. 원칙적으로 로그에는 불가피한 경우 최소한의 개인정보만 기록해야 하지만, 롯데카드는 별도의 검토 없이 로그에 주민등록번호 등 다양한 정보를 함께 저장해 왔고 이로 인해 해킹 발생 시 대규모 유출로 이어졌다는 설명이다.
개인정보위는 롯데카드가 법적 근거 없이 주민등록번호를 처리한 행위와 해당 정보를 충분히 암호화하지 않은 행위를 위법으로 판단해 과징금과 과태료를 부과했다. 아울러 처분 사실을 사업자 홈페이지에 공표하도록 명령했다.
이와 함께 롯데카드에 대해 전반적인 개인정보 처리 현황을 점검·개선하고 개인정보 보호책임자(CPO)의 책임과 독립성을 강화하는 등 개인정보 보호 체계를 정비하도록 시정조치를 내렸다.
개인정보위는 이번 사건을 계기로 금융권 전반에 대한 점검에도 나설 방침이다. 금융 분야 사업자가 법적 근거 없이 주민등록번호를 관행적으로 처리하고 있는지 여부를 확인하기 위한 사전 실태 점검을 이달 중 추진할 계획이다.
