방미통위, 롯데카드에 과태료..."개인식별 번호 안전조치 없어"
방송미디어통신위원회가 롯데카드에 과태료 1125만원을 부과했다. 지난해 정보유출 사고에 따라 연계정보(CI)가 유출되면서 특별점검에 따른 제재다. 방미통위는 29일 전체회의를 열어 정보통신망법 제23조의6 제2항에 따른 연계정보 안전조치 의무를 위반한 롯데카드에 대해 과태료 부과와 함께 개선 권고를 의결했다. 연계정보(CI)란 온라인상에서 특정 개인을 식별하기 위해 주민번호를 암호화한 값으로 개인식별용 전자정보를 뜻한다. 롯데카드 정보 유출 사고와 관련해 연계정보 유출 사실이 인지되면서 지난해 9월부터 11월까지 특별 점검을 실시한 결과, 롯데카드는 모바일과 온라인 환경의 카드결제를 지원하는 '페이서비스' 운영 과정에서 온라인 결제 서버에 연계정보와 주민등록번호 등이 포함된 기록(로그)을 암호화하지 않은 '평문상태'로 노출하고 있었던 것으로 확인됐다. 해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 악용해 정보를 유출했다. 이같이 유출된 정보 중에는 약 129만 명의 연계정보가 포함돼 있으며, 특히 이 중 45만 명은 주민등록번호와 같이 유출된 사실을 확인했다. 특히 롯데카드는 연계정보의 안전한 처리를 위한 내부 규정을 수립하지 않았고, 침해사고 발생 시 대응계획도 세우지 않았다. 필수적인 안전조치 의무를 이행하지 않은 사실이 확인됐다. 방미통위는 ▲안전조치 미비가 대규모 유출로 이어진 점 ▲위반 상태가 법 시행 이후 3개월 이상 지속된 점 등을 근거로 과태료 금액의 2분의 1을 가중해 1125만 원의 과태료를 부과하기로 결정했다. 아울러 ▲아직 법적 의무 기한이 도래하지 않은 주민등록번호와 연계정보 분리 보관 ▲연계정보 저장 시 암호화 ▲연계정보 제공기관‧시기 등에 관한 자료의 기록‧보관 등 3개 항목에 대해서는 개선 권고를 의결했다. 연계정보 유출사고의 주요 원인이 된 점을 고려해 관련 제도의 시행 전이라도 보안 공백을 최소화하고, 이용자 피해를 방지하기 위한 행정지도 차원의 조치다. 방미통위는 향후 실태점검 항목에 주민등록번호와 연계정보 분리 보관 준수 여부 등을 포함ㅙ 연계정보 운영관리 실태를 점검하고, 이용자 보호 방안 마련을 위한 연구반 운영과 함께 주민등록번호와 연계정보 분리 보관 유예기간 단축 등 제도개선을 추진할 예정이다. 김종철 방미통위원장은 “연계정보는 고객을 특정할 수 있는 중요한 정보인 만큼 보안 관리 체계가 미흡한 사업자에 대해서는 무관용 원칙에 따라 엄정 조치할 것”이라며 “앞으로도 국민의 소중한 정보가 안전하게 보호될 수 있도록 관리 감독을 강화하겠다”고 말했다.
