[비즈니스포스트] 개인정보보호위원회(개인정보위)가 롯데카드에서 45만 명의 주민등록번호가 유출된 사실을 확인해 과징금과 과태료 제재를 부과했다.

개인정보위는 11일 제4회 전체회의를 열고 롯데카드가 법적 근거 없이 주민등록번호를 처리한 행위와 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대해 과징금 96억2천만 원과 과태료 480만 원을 부과했다고 12일 밝혔다.
 
2025년 8월 롯데카드에서는 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출된 사건이 발생했다.

로그는 컴퓨터 시스템이나 네트워크 등에서 발생하는 일련의 작업이나 사건에 대한 기록을 말한다.

개인정보위는 2025년 9월22일 금융감독원에서 롯데카드의 ‘개인신용정보 누설 신고 사실’을 알려옴에 따라 관련 사실 확인을 위해 조사에 착수했고 개인정보 유출 대상 가운데 45만 명의 주민등록번호도 새어 나간 사실을 확인했다.

조사 결과에 따르면 롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 개인정보보호법에서 허용한 범위를 벗어나 주민등록번호를 처리했다. 주민등록번호의 평문 처리는 13자리 번호가 모두 노출됐다는 것을 의미한다.

로그 파일에 대한 암호화 조치도 충분히 하지 않았던 것으로 파악됐다.

개인정보위는 롯데카드에 과징금·과태료 등 이번 처분 사실을 사업자 누리집(홈페이지)에 공표하라고도 지시했다.

롯데카드는 전반적 개인정보 처리 현황을 점검 및 개선하고 개인정보보호책임자(CPO)의 책임·독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하라는 시정조치도 명령도 받았다.

개인정보위는 이번 사건을 계기로 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태점검을 추진한다. 점검 시기는 3월로 예정됐다.

개인정보위는 “사업자 스스로 개인정보 오·남용에 대한 경각심을 가져야 한다”며 “개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검하고 개선해 나가달라”고 말했다.

롯데카드의 개인신용정보 유출과 관련한 안전조치의무를 중심으로 하는 ‘신용정보의 이용 및 보호에 관한 법률(신용정보법)’ 위반 여부는 금융당국에서 다룬다. 조혜경 기자