송경희 개인정보보호위원장이 11일 서울 종로구 정부서울청사에서 개최된 2026년 제4회 개인정보보호위원회 전체 회의에서 의사봉을 두드리고 있다. [개인정보보호위원회 제공]

[헤럴드경제=고재우 기자] 개인정보보호위원회(개보위)가 ‘약 300만명’ 개인정보를 유출한 롯데카드에 과징금 96억2000만원 처분을 내렸다.

이는 롯데카드 주민등록번호 처리를 중심으로 한 개인정보보호법(보호법) 위반 조사 결과다. 특별법인 신용정보의 이용 및 보호에 관한 법(신용정보법)에 따른 금융당국의 제재와는 별도다.

개보위는 지난 11일 전체 회의를 열고, 개인정보 보호 법규를 위반한 롯데카드에 과징금 96억2000만원 처분, 과태료 480만원을 부과했다고 12일 밝혔다.

롯데카드는 온라인 간편결제 시스템 해킹으로 로그 파일 내 이용자 297만명 개인신용정보, 이 중 45만명의 주민등록번호 등을 유출했다. 이에 개보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사했다.

조사 결과, 롯데카드는 온라인 결제와 관련 로그에 주민등록번호를 포함한 개인정보를 평문으로 기록하는 등 법을 위반했다. 또 로그 파일에 대한 암호화 조치도 충분히 이뤄지지 않았다.

특히 로그 파일에는 불가피한 경우 최소한의 개인정보만 기록해야 함에도, 롯데카드는 주민등록번호를 포함한 다수의 개인정보를 별도 검토 없이 저장해 왔다. 개보위는 금번 해킹사고가 대규모 개인정보 유출로 이어진 주효한 원인 중 하나로 이를 꼽았다.

다만 개보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부만을 조사했다. 보호법에 우선 적용되는 특별법인 신용정보법 위반 여부는 금융당국 별도 발표가 따로 있을 전망이다. 신용정보법에 따른 과징금은 최대 50억원이다.

[개인정보보호위원회 제공]

아울러 개보위는 롯데카드에 개인정보보호책임자(CPO) 책임·독립성 강화를 포함한 개인정보 보호 체계 전반을 정비토록 시정조치를 내렸다.

개보위는 “법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지에 대해 이달 중 금융 분야 사업자들에 대한 실태 점검을 추진할 계획”이라며 “사업자 스스로 개인정보 오·남용에 대한 경각심을 가지고, 개인정보 보호 원칙에 따라 주기적으로 처리 현황을 점검하고 개선해야 한다”고 강조했다.