;)
;)
정보 로그 암호화 않고 평문으로 노출
"안전조치 의무 위반, 침해사고 대응계획 수립 미비"
"안전조치 의무 위반, 침해사고 대응계획 수립 미비"
이미지 확대보기방송미디어통신위원회는 29일 ‘2026년 제5차 위원회’를 열고 이같이 결정했다.
방미통위에 따르면 롯데카드는 정보통신망 이용촉진 및 정보보호 등에 관한 법률상 연계정보 안전조치 의무를 위반했다.
연계정보는 주민등록번호를 암호화한 값으로, 온라인에서 특정 개인을 식별하기 위해 사용되는 전자정보다.
이번 조치는 롯데카드의 정보유출 사고 발생 후 연계정보 유출 사실이 확인되면서 특별점검 한 결과에 따른 것이다. 점검은 지난해 9월부터 두 달 간 이뤄졌다.
점검 결과 롯데카드는 모바일·온라인 카드결제를 위한 '페이서비스'를 운영하면서 온라인 결제 서버에 연계정보와 주민등록번호 등이 포함된 로그를 암호화하지 않고 평문 상태로 노출했다. 해커는 로그가 암호화되기 전 평문으로 기록되는 시간에 정보를 유출한 것으로 조사됐다.
이 사고로 롯데카드 이용자 중 약 129만명의 연계정보가 유출됐으며, 이 가운데 45만명은 주민등록번호도 함께 유출됐다.
방미통위는 롯데카드가 연계정보를 안전하게 처리하기 위한 내부 규정을 마련하지 않았고, 침해사고 대응계획도 수립하지 않으며 필수 안전조치 의무를 이행하지 않았다고 판단했다.
과태료는 기준 금액에서 2분의 1만큼 가중됐다. 일부 항목에 대해선 개선이 권고됐다.
방미통위는 앞으로 강화된 연계정보 운영관리 실태를 점검할 계획이다. 이용자 보호 방안 마련을 위한 연구반을 운영하며 주민등록번호와 연계정보 분리 보관 유예기간 단축 등 제도 개선도 추진한다.
이민지 글로벌이코노믹 기자 mj@g-enews.com
