 |
브레이크뉴스 문홍철 기자= 개인정보보호위원회는 이달 11일 제4회 전체회의를 열고, 개인정보 보호 법규를 위반한 롯데카드㈜에 과징금 96억2000만 원과 과태료 480만 원을 부과하고, 시정 및 공표 명령을 의결했다고 12일 밝혔다.
앞서 개인정보위는 2025년 9월 22일 금융감독원에서 롯데카드의 ‘개인신용정보 누설 신고 사실’을 알려옴에 따라 관련 사실 확인을 위해 조사에 착수했다.
롯데카드의 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출됐으며, 그 중 45만 명의 주민등록번호도 함께 유출된 사실을 확인했다.
‘신용정보의 이용 및 보호에 관한 법률’은 개인신용정보 처리에 관한 특별법으로, 개인신용정보에 관해서는 신용정보법이 ‘개인정보 보호법’에 우선해 적용되는 반면, 신용정보법에 규정돼 있지 않은 개인정보의 처리에 대해서는 보호법이 적용된다.
이에 금융당국은 롯데카드의 개인신용정보 유출과 관련한 안전조치의무를 중심으로 신용정보법 위반 여부를, 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사했다.
개인정보위 조사 결과에 따르면 롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리했다. 로그 파일에 대한 암호화 조치도 충분히 하지 않았다.
또한, 로그 파일에는 불가피한 경우에 한해, 최소한의 개인정보만 기록해야 함에도, 롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 이번 해킹사고가 대규모 개인정보 유출로 이어진 원인 중 하나로 파악됐다.
개인정보위는 롯데카드가 법적 근거 없이 주민등록번호를 처리한 행위와, 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대하여 과징금 96억2000만 원과 과태료 480만 원을 부과하고, 처분 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다.
아울러 전반적인 개인정보 처리 현황을 점검 및 개선하고, 개인정보 보호책임자(CPO)의 책임·독립성 강화를 포함하여 개인정보 보호 체계 전반을 정비하도록 시정조치를 명했다.
개인정보위는 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태점검을 추진할 계획(3월 예정)이다.
개인정보위는 “이번 사건을 계기로 사업자 스스로 개인정보 오·남용에 대한 경각심을 가지고 개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검하고 개선해 나갈 것이다”고 강조했다.
break9874@naver.com
*아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. 구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.<*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.>
The Personal Information Protection Commission fined Lotte Card 9.62 billion won for leaking personal information.
The Personal Information Protection Commission announced on the 12th that it held its 4th plenary session on the 11th of this month and decided to impose a fine of 9.62 billion won and a surcharge of 4.8 million won on Lotte Card Co., Ltd. for violating personal information protection laws and regulations, as well as ordering corrective action and public disclosure.
The Personal Information Protection Commission launched an investigation to confirm the facts following a report from the Financial Supervisory Service on September 22, 2025, regarding a "personal credit information leak" at Lotte Card.
It was confirmed that the personal credit information of approximately 2.97 million users, recorded in log files, was leaked due to a hack of Lotte Card's online payment system, including the resident registration numbers of 450,000 users.
The "Act on the Use and Protection of Credit Information" is a special law governing the processing of personal credit information. While the Credit Information Act takes precedence over the Personal Information Protection Act with respect to personal credit information, the Protection Act applies to the processing of personal information not regulated by the Credit Information Act.
Accordingly, the financial authorities investigated Lotte Card's obligations to take safety measures in connection with the leak of personal credit information, focusing on whether it violated the Credit Information Protection Act. The Personal Information Commission (PIC) investigated Lotte Card's handling of resident registration numbers, focusing on whether it violated the Protection Act.
According to the PIC's findings, Lotte Card exceeded the legally permitted scope of processing resident registration numbers, including the number, by recording a large amount of personal information in plain text in logs related to online payments. The company also failed to adequately encrypt the log files.
Furthermore, despite the requirement that log files contain only the minimum amount of personal information necessary, Lotte Card's failure to properly review and store a large amount of personal information, including resident registration numbers, was identified as one of the factors contributing to the massive personal information leak.
The PIC imposed a fine of 9.62 billion won and a surcharge of 4.8 million won on Lotte Card for processing resident registration numbers without legal justification and failing to apply adequate encryption. The PIC also ordered Lotte Card to publicly announce the decision on its website.
Furthermore, the commission ordered corrective measures to review and improve the overall status of personal information processing and to strengthen the accountability and independence of the Chief Privacy Officer (CPO), including overhauling the overall personal information protection system.
The Personal Information Commission plans to conduct a preliminary inspection of financial institutions (scheduled for March) to determine whether they routinely process resident registration numbers despite having no legal basis or being unnecessary.
The commission emphasized, "This incident will serve as an opportunity for businesses to raise awareness of the misuse and abuse of personal information and to regularly review and improve their personal information processing practices in accordance with the principles of personal information protection."
