"45만명 주민번호 유출" 개인정보위, 롯데카드에 과징금 96억원

"주민번호 처리 의무 위반…대규모 유출 원인"
개인정보 평문 기록·로그 파일 암호화 미흡 등
개인정보위, 금융 분야 사업자 실태점검 추진

개인정보보호위원회가 지난해 297만명의 개인 신용정보 유출 사고를 낸 롯데카드에 96억2000만원의 과징금을 부과했다.

송경희 개인정보보호위원회 위원장이 11일 오후 정부서울청사에서 열린 2026년 제4회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. 개인정보보호위원회 제공

개인정보위는 제4회 전체회의에서 주민등록번호 처리 의무를 다하지 않는 등 개인정보보호법을 위반한 롯데카드에 대해 과징금과 480만원의 과태료 부과, 시정·공표 명령을 의결했다고 12일 밝혔다.

개인정보위는 "지난해 9월 금융감독원에서 롯데카드의 개인 신용정보 누설 신고 사실을 알려오면서 조사에 착수했다"며 "조사 결과 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 297만명의 개인 신용정보가 유출됐고, 그중 45만명의 주민등록번호도 함께 유출된 것으로 확인됐다"고 설명했다.

금융당국이 롯데카드의 안전 조치 의무 중심으로 신용정보법 위반 여부를 살폈다면, 개인정보위는 롯데카드의 주민등록번호 처리에 따른 개인정보보호법 위반 여부를 조사했다고 했다.

롯데카드는 온라인 결제 관련 로그에 다수의 개인정보를 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리한 것으로 나타났다. 로그 파일 암호화도 미흡했다. 개인정보호호법 제24조의2에 따르면 주민등록번호는 법률, 대통령, 국회 규칙 등에서 요구하거나 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위할 경우 등 제한적인 상황에서만 처리 가능하다.

또 로그 파일에는 불가피한 경우에 한해 최소한의 개인정보만 기록해야 하는데, 롯데카드는 별도의 검토 없이 다수의 개인정보를 저장해온 것으로 파악됐다고 개인정보위는 전했다. 대규모 개인정보 유출 빌미를 제공했다는 것이다.

개인정보위는 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 이달 중 금융 분야 사업자들에 대한 사전 실태점검을 추진한다는 계획이다. 개인정보위는 "이번 사건을 계기로 사업자 스스로 개인정보 오·남용에 경각심을 가지고 개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검·개선해 달라"고 당부했다.

노경조 기자 felizkj@asiae.co.kr