[서울=뉴시스]박은비 기자 = 롯데카드가 지난해 해킹 사고에서 고객 129만명의 연계정보(CI) 유출에 따른 책임으로 과태료 1125만원을 물게 됐다.

방송미디어통신위원회는 29일 오후 제5차 전체회의에서 정보통신망법 위반으로 롯데카드에 대해 심의한 결과 과태료 1125만원을 의결했다. 방미통위가 현행법으로 부과할 수 있는 최대 규모다.

안전조치 미비가 대규모 유출로 이어지게 한 점 등을 고려해 과태료 금액이 가중됐다.

CI는 온라인상에서 주민등록번호 역할을 하는 고유 식별 값을 말한다. 이동통신사, 아이핀 등 본인확인기관이 사용자 주민등록번호를 암호화해 생성하며, 서로 다른 서비스 운영사들이 동일인인지 확인하기 위해 사용한다.

방미통위가 지난해 9월부터 11월까지 점검한 결과 롯데카드는 모바일·온라인 환경에서 카드결제를 지원하는 '페이서비스' 운영 과정에서 온라인 결제 서버에 연계정보와 주민등록번호 등이 포함된 로그기록을 암호화하지 않은 평문 상태로 노출하고 있었던 것으로 파악됐다.

해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 악용해 정보를 빼돌린 것으로 조사됐다. 이로 인해 유출된 정보 중에는 약 129만명의 연계정보가 포함됐고, 이 중 45만명은 주민등록번호도 같이 유출됐다.

방미통위는 롯데카드가 연계정보의 안전한 처리를 위한 내부 규정 미수립, 침해사고 발생시 대응계획 미수립 등 필수적인 안전조치 의무를 이행하지 않았다고 봤다.

특히 안전조치 미비가 대규모 유출로 이어진 점, 위반 상태가 지난해 5월 21일 법 시행 이후 3개월 이상 지속된 점 등을 이유로 과태료 금액을 750만원에서 1125만원으로 가중했다.

다만 과징금보다 낮은 과태료 제재에 금액도 높지 않은 편이다. 이에 따라 방미통위는 제재 수위 상향을 검토하기로 했다.

최수영 상임위원은 "국민적 관심이 있었던 사안이고 경각심이 필요한데 큰 과오를 저질렀어도 현행 법체계에서 방미통위가 할 수 있는 게 이 정도의 과태료면 실효성이 있겠냐"며 "자본 규모가 큰 기업은 과태료보다 다른 행정조치가 실효적이지 않을까 싶다. 검토해달라"고 요청했다.

아울러 주민등록번호와 연계정보 분리 보관, 연계정보 저장시 암호화 등 의무가 내년 5월 1일부터 시행돼 먼저 도입할 수 있도록 개선 권고를 의결했다. 보안 공백 최소화 조치다.

김종철 방미통위원장은 "연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것"이라며 "앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다"고 말했다.

한편 개인정보보호위원회는 올해 3월 롯데카드에 대해 개인정보보호법 위반으로 과징금 96억2000만원과 과태료 480만원을 부과한 바 있다.

◎공감언론 뉴시스 [email protected]

Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지