검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'정보유출'통합검색 결과 입니다. (6건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

정보유출 롯데카드 주민번호도 암호화없이 저장…개보위 과징금 철퇴

약 300만명에 가까운 개인신용정보를 유출한 롯데카드에 대한 개인정보위원회(개인정보위) 과징금 수준이 예상보다 낮게 나와 이유에 대한 관심이 쏠린다. 12일 정부서울청사에서 열린 개인정보위 브리핑에서 개인정보위는 전체회의를 거쳐 롯데카드에 과징금 96억 2000만원, 과태료 480만원을 부과 처분한다고 밝혔다. 롯데카드서 유출된 개인정보(이름·주민등록번호·주소·전화번호 등)는 물론이고 결제에 필요한 카드·CVC 등이 해킹돼 부정적 파급력이 높다는 점, 전체 매출액의 3% 이하로 과징금을 부과할 수 있다는 점을 감안하면 과징금은 그리 높지 않은 수준이다. 2024년 연결 기준 롯데카드의 전체 매출액은 3조 348억원이다. 개인정보위는 '솜방망이' 처벌에 대해 강력히 부인했다. 윤여진 개인정보위 조사1과장은 "롯데카드 과징금은 주민등록번호를 과도하게 수집하고 처리한 부분에 대한 과징금"이라며 "결제 정보나 개인정보에 대한 유출 피해 등과 관련한 것은 금융당국이 관여한다"고 설명했다. 즉, 개인정보위는 약 297만명의 개인정보유출에 대해 법적 판단을 한 것이 아닌 롯데카드가 개인정보법 24조 2항을 위배해 과도하게 주민등록번호를 수집해 로그에 저장하고, 이 주민등록번호를 암호화하지 않았다는 처리 위반 사실에 대해서만 과징금 처리했다는 것이다. 개인정보위는 롯데카드 정보 유출에 대한 금융감독원의 신고를 받고 조사에 나섰으며, 로그에 주민등록번호 13자리가 어떠한 암호화조치도 되지 않은 채 저장된 건 49만건을 확인했다. 더불어 온라인 결제 약관에 주민등록번호를 수집해 로그에 기록했으며 이 역시도 제대로 처리되지 않았다. 윤 과장은 "개인정보위는 롯데카드의 정보 유출 위법성을 매우 엄중하게 바라보고 있다"며 "과징금 처분 시 최대 50%까지 감경이 가능한데 감경 사유에 해당하는 것도 포함시키지 않고 20%수준만 감경하는데 그쳤다"고 언급했다. 이어 그는 "다만 과징금은 전체 매출액 기준인데 롯데카드가 관련 매출액이 아닌 부분 을 입증해 온라인 결제 매출액만으로 (과징금을) 산정했다"며 "2년 여 동안 개인정보법 위반에 따른 과징금 가중 사유 50% 등이 있었으며 최종적으로 20% 과징금을 가중 처분하는 것으로 결정내렸다"고 말했다.

2026.03.12 10:48손희연 기자

개보위, 대규모 개인정보유출 롯데카드에 과징금 96억2천만원 부과

수백 만 건의 개인·신용정보를 유출한 롯데카드가 개인정보보호위원회(개인정보위)로부터 과징금 96억 2000만원, 과태료 480만원을 부과받았다. 개인정보위는 11일 4회 전체회의를 열고 롯데카드 온라인 간편시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출, 45만명의 주민등록번호도 함께 유출된 사실을 확인하고 이 같은 처분 결과를 의결했다고 12일 밝혔다. 개인정보위는 2025년 9월 22일 금융감독원으로부터 신고 사실을 전달받아 조사에 들어갔으며, 개인정보 처리에 관한 개인정보보호법에 위반되는 사안을 중심으로 처분을 내렸다. 조사에 따르면 롯데카드는 온라인 결제와 관련한 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록했다. 로그 파일에는 최소한의 개인정보만 기록해야 하지만 롯데카드가 로그에 주민등록번호를 포함한 다수 개인정보를 별도 검토없이 저장해온 것이다. 로그는 컴퓨터 시스템이나 네트워크 등에서 발생하는 일련의 작업이나 사건에 대한 기록을 의미한다. 이는 정보 주체 또는 제3자의 급박한 생명·신체·재산 이익을 위해 명백히 필요하다고 인정되는 경우 등 개인정보보호법 제24조 2항을 벗어나는 수준이었다고 개인정보위는 부연했다. 로그 파일에 대한 암호화 조치도 충분히 하지 않았다. 개인정보위는 이 같은 롯데카드에 과징금과 과태료를 부과하고 처분 사실을 사업자 홈페이지에 공표하도록 명령했다. 또 개인정보보호책임자(CPI) 책임·독립성 강화를 포함해 개인정보보호 체계 전반을 정비하도록 시정 조치를 내렸다. 개인정보위 측은 "롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 대규모 개인정보 유출로 이어진 원인 중 하나"라며 "법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태 점검을 3월 중 추진할 계획"이라고 설명했다.

2026.03.12 10:00손희연 기자

'2025 산업보안 컨퍼런스' 18일 열린다

산업기술보호의날을 맞아 글로벌 기술 유출 대응 방안을 모색하기 위한 컨퍼런스가 개최된다. 산업보안 컨퍼런스 조직위원회는 오는 18일 그랜드 인터컨티넨탈 서울 파르나스에서 '2025 산업보안 컨퍼런스'를 개최할 예정이라고 6일 밝혔다. 이번 컨퍼런스는 '기술패권 시대의 경제안보 전략, 보호, 협력 그리고 생존'이라는 주제로 열린다. 글로벌 기술 유출 대응 방안 및 첨단 보안기술 공유를 통해 우리 기업과 산업보안 정책이 나아가야할 방향을 모색하겠다는 취지다. 행사에는 ▲미국의 기술유출 대응 및 자국 기업과의 공조 현황 ▲인공지능(AI)을 활용한 국가핵심기술 식별 및 관리 ▲AI를 활용한 정보유출 방지와 보안 관리 ▲첨단기술법제 한계와 개선방안 ▲글로벌 기술안보 강화 시대의 산업기술 보호법 등 5가지 주제 발표가 이뤄진다.

2025.11.06 16:04김기찬 기자

조좌진 롯데카드 대표 "침해 행위만으로는 보고 의무없어"

조좌진 롯데카드 대표가 해킹 사실을 뒤늦게 금융감독원에 보고했다는 지적에 대해, 법적으로 문제가 없다고 답변했다. 24일 오전 국회 과학기술정보방송통신위원회에서 열린 해킹 사고 청문회에서 조좌진 대표는 "침해 행위만으로는 보고 의무가 없다"며 "전자금융거래법에선 침해 행위와 침해 사고를 구분하고 있으며, 침해 행위로 시스템이 교란되거나 마비돼야 사고가 된다"고 답변했다. 롯데카드는 악성코드가 감염된 사실을 최초로 확인한 날을 8월 26일로 보고 있다. 그러나 롯데카드는 금융감독원에 침해 사고 신고를 9월 1일에 했다. 기간 차이가 난다는 점에서 늑장 대응을 한 것이 아니냐는 지적이 나왔다. 롯데카드 회원 960만명 중 297만명, 약 200기가바이트(GB)의 정보가 유출됐다. 이 중 28만명은 연계정보(CI), 주민등록번호, 카드번호, CVC 번호 등이 유출돼 부정 사용 가능성이 있는 것으로 파악됐다. 롯데카드의 대주주인 MBK파트너스는 보안 투자 강화와 함께 매각 추진 의사를 밝혔다. 윤종하 MBK파트너스 부회장은 올해도 롯데카드를 매각할 것이냐는 질문에 "그렇다"고 답했다.

2025.09.24 15:14손희연 기자

롯데카드 보안투자 두고 MBK vs 금감원 공방

개인정보를 비롯해 결제정보까지 200기가바이트(GB)까지 정보를 유출한 롯데카드의 보안 투자 실태를 두고, 롯데카드의 최대주주인 사모펀드 MBK파트너스와 금융감독원의 집계가 달라 공방이 이어질 것으로 관측된다. 금감원에 이어 개인정보보호위원회(개보위)·방송통신위원회(방통위) 등 주요 정부 부처가 롯데카드 사태 조사를 벌이고 있는 가운데, 롯데카드의 제재에 귀추가 쏠리고 있다. 최근 MBK파트너스는 "롯데카드의 정보보안 및 IT 투자를 꾸준히 확대해왔다"고 밝혔지만, 국회 정무위원회 의원들이 금감원으로부터 받은 정보보호 예산 현황에서는 롯데카드가 정보보호 예산을 줄인 것으로 나타났다. 국민의힘 강민국·김상훈 의원이 금감원에 받은 자료에 따르면 롯데카드의 올해 정보보호 예산 편성액은 128억 원으로 지난해 151억 원과 비교해 15.2% 감소했다. KB국민카드와 삼성카드·우리카드·신한카드 등은 예산을 늘렸다. MBK는 올해 롯데카드의 보안투자는 약 128억원으로 2024년 117억원과 비교해 11억원 증가했다고 해명했지만, 금감원 자료에 따르면 롯데카드의 올해 정보보호예산은 96억원으로 32억원 줄었다. 정보보호 예산뿐만 아니라 정보보호 내부 인력에 대해서도 MBK와 금감원 간 의견이 엇갈린다. 더불어민주당 김용만 의원이 금감원으로부터 받은 자료에 따르면 2024년 롯데카드의 정보기술(IT) 부문 총인력 대비 정보보호 인력 비중은 13.3%로 2022년 24.6% 대비 11.3%p 줄었다. 롯데카드 IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권으로 집계됐다. 전체 카드업권의 IT 임원 비중은 11% 수준이다. 보안 투자와 인력, 비중 등에 대한 MBK와 금감원 수치가 차이가 생기면서, 24일 국회 과학기술정보방송통신위원회가 여는 청문회에서 의원들의 질의가 쏟아질 것으로 보인다. 현재 MBK 김병주 회장과 롯데카드 조좌진 대표가 증인으로 채택됐다. ESG 평가기관 서스틴베스트는 '정보보호' 사안에서 심각성이 중대하다고 판단하며 롯데카드에 대한 ESG 평가 감점이 불가피하다고 밝혔다. 이날 서스틴베스트는 컨트로버시 보고서를 통해 롯데카드 사건에 대해 심각성 '상'으로 평가했다. 감점으로 인해 등급하락 가능성이 높다는 얘기다. 서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표하며 사회적 논란이 된 사건은 '컨트로버시(Controversy)' 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분되며, Level 5(심각성 '상')으로 분류되면 기업 전체 등급에 큰 영향을 미친다.

2025.09.23 15:31손희연 기자

롯데카드 조좌진 대표, 정보보호투자 1100억원 많지 않은 이유

개인정보뿐만 아니라 결제정보까지 털린 롯데카드가 5년 간 정보 보호 관련한 투자를 1천100억원 규모로 집행하겠다고 밝혔지만, 아주 큰 규모는 아닌 것으로 추정된다. 23일 국민의힘 강민국 의원이 금융감독원으로부터 받은 자료 '국내 카드사별 정보기술예산 및 정보보호 예산 현황'을 분석해보면 롯데카드는 2020년부터 2025년 8월까지 정보보호예산으로 총 606억여원을 배정했다. 연평균으로 따지면 100억원 수준이다. 예산을 배정했지만 100% 집행한 것은 아니다. 6년 동안 442억여원을 집행했으며 매해 73억원 수준을 평균적으로 집행했다. 6년 간 평균 집행률은 82% 정도였다. 조좌진 롯데카드 대표가 공언한 5년 간 1천100억원의 정보보호 관련 투자를 과거 흐름에 맞춰 역산해보면, 롯데카드는 매년 220억원 수준의 정보보호 예산·매년 180억원여의 관련 집행을 한다고 관측할 수 있다. 같은 기간 8개 카드사(현대카드·우리카드·롯데카드·삼성카드·신한카드·비씨카드·하나카드·KB국민카드)는 어땠을까. 8개 카드사의 정보보호예산 평균액은 115억9천만원이고 정보보호 집행액은 90억6천만원이다. 이제까지 롯데카드가 정보보호에 들인 돈을 다른 카드사와 비교해보면 큰 수준이 아니기 때문에, 조 대표가 약속한 금액이 카드사 평균을 웃돈다고 하더라도 의미있다고 보긴 어렵다. 심지어 롯데카드는 정보보호 예산을 2024년 122억4천500만원에서 올해 96억5천600만원으로 25억9천00만원 줄였다. 2014년 대규모 개인정보 유출을 같이 겪었던 KB국민카드가 정보보호 예산 배정과 집행액이 8개 카드사 중 가장 커, 롯데카드와 대조적인 양상이다. KB국민카드의 6년 평균 정보보호 예산은 115억9천만원, 정보보호 평균 집행액은 134억원이다. 물론 최악의 대규모 정보유출 사고를 낸 롯데카드보다 정보보호 예산과 집행액이 더 적은 곳도 있어 또다른 유출 사고 가 이어질지 우려된다. 비씨카드의 6년 평균 정보보호 투자 예산액은 53억원, 평균 집행액은 36억원으로 KB국민카드의 각각 3분의 1, 4분의 1수준인 것으로 집계됐다.

2025.09.23 11:16손희연 기자