롯데카드가 방송미디어통신위원회로부터 연계정보(CI) 안전조치 의무 위반과 관련 과태료 1125만원과 개선권고를 받았다. 지난해 정보유출 사고 과정에서 약 129만명분 CI가 유출된 데 따른 조치다.
방송미디어통신위원회는 29일 오후 정부과천청사에서 제5차 위원회를 열고 정보통신망법 제23조의6 제2항에 따른 연계정보 안전조치 의무를 위반한 롯데카드에 과태료를 부과하기로 의결했다.
이른바 '온라인 주민등록번호'로 불리는 CI는 주민등록번호 직접 수집을 줄이기 위해 도입된 온라인 식별수단이다. 이용자가 온라인에서 본인확인을 마치면 본인확인기관이 CI를 생성해 사업자와 기관에 제공한다. 현재 국내 대부분 웹과 앱에서 동일인을 식별하는 값으로 활용되고 있다.
방미통위가 지난해 9월부터 11월까지 롯데카드 해킹 사고 관련 CI 유출 경위를 점검한 결과, 롯데카드는 페이서비스 운영 과정에서 온라인 결제 서버 로그에 CI와 주민등록번호 등을 평문으로 노출한 것으로 파악됐다. 해커는 이 기록 시점을 노려 정보를 유출한 것으로 조사됐다.
유출 정보에는 약 129만명분 CI가 포함됐다. 이 중 45만명은 주민등록번호도 함께 유출된 것으로 확인됐다.
방미통위는 롯데카드가 CI의 안전한 처리를 위한 내부규정을 마련하지 않았고, 침해사고 대응계획도 수립하지 않는 등 필수 안전조치 의무를 이행하지 않았다고 판단했다. 안전조치 미비가 대규모 유출로 이어졌고, 위반 상태가 법 시행 이후 3개월 이상 지속된 점을 반영해 과태료를 2분의 1 가중했다고 밝혔다.
방미통위는 이와 함께 주민등록번호와 CI 분리 보관, CI 저장 시 암호화, CI 제공기관·제공시기 자료 기록·보관 등 3개 항목에 대해서는 개선권고를 의결했다. 해당 조항은 내년 5월 시행 예정으로 아직 법적 의무 기한이 남아 있지만, 이번 사고 원인과 직결된다는 점을 고려해 선제 조치에 나섰다는 설명이다.
방미통위는 앞으로 실태점검 항목에 주민등록번호와 CI 분리 보관 여부 등을 포함하고, 이용자 보호 방안 마련을 위한 연구반 운영과 제도 개선도 추진할 계획이다.
김종철 방미통위원장은 “CI는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것”이라며 “앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다”고 말했다.
남궁경 기자 nkk@etnews.com
