 ▲ 2일 서울 중구 롯데카드 카드센터에서 고객이 상담을 받고 있다. 롯데카드가 해킹 공격 정황을 확인하고 금융당국에 신고했다. 랜섬웨어 감염과 고객의 개인정보 유출 여부는 아직 확인되지 않았다. 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확 ©뉴시스 |
브레이크뉴스 최애리 기자= 서울YMCA 시민중계실은 최근 발생한 롯데카드 개인정보 유출 사태와 관련해, 회사와 금융당국의 대응이 미흡하다고 강하게 비판했다.
롯데카드는 최근 해킹 사태로 297만 명, 200GB에 달하는 개인정보가 유출됐다. 특히 카드번호, 비밀번호 일부, 유효기간, CVC, 주민등록번호 등 핵심 정보까지 유출된 피해자는 28만 명에 달한다.
서울YMCA는 23일 보도자료를 통해 이번 사태가 이미 예견된 사건이라고 지적하며, 기업이 개인정보 보호를 비용이 아닌 의무로 인식하지 않는 한 계속 반복될 수밖에 없다고 강조했다.
롯데카드의 최대주주인 사모펀드 MBK파트너스가 보안 관련 비용을 최소화하고 수익성 극대화에만 집중한 게 아니냐는 의혹을 제기했다.
서울YMCA는 또한 '개인정보 보호법'상 개인정보처리자의 안전조치 의무 위반에 대한 처벌 조항이 삭제된 사실을 언급하며, 법 개정이 기업 부담을 줄이는 방향으로 이루어졌다고 지적했다.
YMCA는 또한 실제로 기업 위반 사례가 드물어 ‘자율적 규제’라는 명목이 사실상 안전장치 역할을 하지 못하고 있음도 꼬집었다.
아울러 롯데카드가 제시한 보상책은 실효성이 없다고 평가했다. 롯데카드가 제시한 연말까지 무이자 할부 제공, 일부 카드 사용 알림 서비스 무료 제공, 유출 정보 피해자 재발급 시 연회비 면제 등 조치에 대해 "사실상 피해자를 우롱하는 수준"이라고 했다.
금융당국의 대응에 대해서도 "늦장 대응과 지체 공표로 피해를 키웠다"고 비판하며, 개인정보 보호법 제34조에 명시된 정보주체에게 지체 없이 알릴 의무를 이행하지 않았다고 지적했다.
YMCA는 마지막으로 "기업에 실질적 압박을 주기 위해 징벌적 과징금과 집단 소송, 징벌배상 제도 도입이 반드시 필요하다"면서 "이번 사태에서 단 한 명의 피해자도 억울함이 없도록 롯데카드의 보상안과 금융당국의 대응을 면밀히 감시하겠다"고 밝혔다.
*아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.<*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.>
Seoul YMCA: "Lotte Card Personal Information Leak: Compensation and Sanctions Inadequate"
The Seoul YMCA Citizens' Media Center strongly criticized the company and financial authorities for their inadequate response to the recent Lotte Card personal information leak.
Lotte Card recently suffered a hacking incident, resulting in the leak of personal information of 2.97 million individuals, amounting to 200GB. Key information, including card numbers, partial passwords, expiration dates, CVCs, and resident registration numbers, was exposed to 280,000 victims.
In a press release on the 23rd, the Seoul YMCA pointed out that this incident was predictable and emphasized that unless companies recognize personal information protection as a duty, not a cost, it will continue to recur.
The YMCA raised suspicions that Lotte Card's largest shareholder, private equity fund MBK Partners, may have focused solely on minimizing security-related costs and maximizing profitability.
The Seoul YMCA also noted that the Personal Information Protection Act's removal of penalties for violations of personal information processors' safety measures mandates has led to the revision, pointing out that the legal revision was aimed at reducing the burden on companies.
The YMCA also pointed out that, due to the rarity of corporate violations, the so-called "self-regulation" is effectively failing to function as a safety net.
Furthermore, the YMCA assessed the compensation measures proposed by Lotte Card as ineffective. Lotte Card's proposed measures, including interest-free installment payments until the end of the year, free card usage notification services for some cards, and exemption of annual fees for reissued cards for victims of data leaks, were deemed "virtually mocking the victims."
The YMCA also criticized the financial authorities' response, saying their "late response and delayed announcement exacerbated the damage." They also pointed out that they failed to fulfill their obligation to promptly notify data subjects, as stipulated in Article 34 of the Personal Information Protection Act.
The YMCA concluded by saying, "In order to put real pressure on companies, it is absolutely necessary to introduce a punitive fine, class action lawsuit, and punitive damages system," and "We will closely monitor Lotte Card's compensation plan and the financial authorities' response to ensure that not a single victim is wronged in this incident."
