롯데카드, 개인정보 유출에 과징금 96억…기업 보안 관리 책임 법제화 가속

[포인트경제] 개인정보보호위원회가 고객 297만 명의 개인정보를 유출한 롯데카드에 96억원 규모의 과징금을 부과했다. 최근 대규모 사이버 침해와 정보 유출 사고에 대한 기업의 책임을 무겁게 묻는 법률 개정이 잇따르고 있어 산업계 전반의 보안 관리 체계 점검이 요구된다.

△ 로그 파일 내 주민번호 평문 저장 등 관리 소홀 확인

개인정보위에 따르면, 롯데카드는 개인정보보호법 위반으로 과징금 96억 2000만원과 과태료 480만원 처분을 받았다. 이번 제재는 지난해 8월 발생한 온라인 간편결제 시스템 해킹 사건에 따른 조치다.

당시 해킹으로 인해 이용자 약 297만 명의 개인 신용정보가 담긴 로그 파일이 유출됐다. 조사 결과, 롯데카드는 시스템 작업 기록인 로그 파일에 45만 명의 주민등록번호를 별도의 암호화 조치 없이 평문 형태로 저장해 온 것으로 확인됐다.

△ 개인정보위, 시정명령·금융권 실태 점검 추진

개인정보위는 과징금 부과와 함께 처분 사실을 회사 홈페이지에 공표하도록 명령했다. 또한 개인정보보호책임자(CPO)의 독립성 강화를 포함해 개인정보 보호 체계 전반을 정비하라는 시정조치도 함께 내렸다.

금융당국은 이와 별개로 '신용정보법' 위반 여부를 검토 중이다. 개인정보위 역시 이번 사건을 계기로 이달 중 금융분야 사업자들이 관행적으로 주민등록번호를 처리하고 있는지에 대한 사전 실태 점검에 나설 계획이다.

△ 정보통신망법·개인정보보호법 개정으로 처벌 수위 상향

이번 롯데카드 사례는 기업의 보안 투자와 관리 책임을 대폭 강화하는 최근의 규제 강화 기조와 맞닿아 있다. 국회 본회의를 통과한 '정보통신망법' 개정안은 침해사고가 반복될 경우 매출액의 최대 3%, 불법 스팸 방치 시 최대 6%의 과징금을 부과할 수 있도록 규정했다.

올해 9월 시행을 앞둔 '개인정보보호법' 개정안은 처벌 수위를 더 높였다. 중대한 위반 행위를 한 기업에는 전체 매출액의 최대 10%까지 과징금을 부과할 수 있게 된다. 이는 기업이 보안 투자를 회피할 경우 유출 사고 시 막대한 재무적 타격을 입을 수 있다는 경각심을 주기 위한 조치다.

개정된 법안들은 사후 수습보다 사전 예방에 무게를 두고 있다. 최고경영자(CEO)의 관리·감독 의무를 강화하고, 정보보호최고책임자(CISO)에게 보안 인력과 예산을 관리할 수 있는 실질적인 권한을 부여하도록 명문화했다.

정부는 고위험 산업군을 대상으로 '정보보호·개인정보보호 관리체계(ISMS-P)' 인증 기준을 강화하고, 사고 발생 시 이용자에게 즉시 통지하는 의무도 확대할 방침이다. 이에 따라 기업들은 구조적인 예방 시스템을 갖춰야 할 전망이다.