방미통위, '129만명 CI 유출' 롯데카드에 과태료 1125만원

박지혜 기자 | pjh@newsprime.co.kr | 2026.04.29 18:25:33

[프라임경제] 방송미디어통신위원회(이하 방미통위)가 연계정보 안전조치 의무를 위반한 롯데카드에 과태료 1125만원을 부과했다.

김종철 방송미디어통신위원장이 29일 정부과천청사에서 '2026년 제5차 전체회의'를 열고 있다. ⓒ 방송미디어통신위원회

방미통위는 29일 '2026년 제5차 위원회'를 열고 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제23조의6 제2항에 따른 연계정보 안전조치 의무를 위반한 롯데카드에 대해 과태료 1125만원 부과와 함께 개선권고를 의결했다.

이번 조치는 지난해 발생한 롯데카드의 정보유출 사고와 관련해 연계정보(CI)가 유출된 사실을 인지함에 따라 실시한 특별점검의 결과다. 점검은 지난해 9월부터 11월에 걸쳐 실시됐다.

연계정보는 온라인에서 특정 개인을 식별하기 위해 주민등록번호를 암호화한 값이다. 온라인 본인확인과 서비스 연계 등에 쓰이는 개인식별용 전자정보다.

점검 결과 롯데카드는 모바일·온라인 환경의 카드결제를 지원하는 '페이서비스' 운영 과정에서 온라인 결제 서버에 연계정보와 주민등록번호 등이 포함된 기록(로그)을 암호화하지 않은 '평문상태'로 노출하고 있었던 것으로 확인됐다.

해커는 로그가 암호화되기 전 평문으로 기록되는 시간대를 악용해 정보를 유출했다.

이로 인해 유출된 정보 중에는 약 129만명의 연계정보가 포함돼 있다. 특히 이 중 45만명은 주민등록번호와 같이 유출된 사실을 확인했다.

점검 결과에 따르면 롯데카드는 연계정보의 안전한 처리를 위한 내부규정 미수립, 침해사고 발생 시 대응계획 미수립 등 필수적인 안전조치 의무를 이행하지 않은 사실이 확인됐다.

이에 방미통위는 △안전조치 미비가 대규모 유출로 이어진 점 △위반 상태가 법 시행 이후 3개월 이상 지속된 점 등을 근거로 과태료 금액의 2분의 1을 가중해 1125만 원의 과태료를 부과하기로 결정했다.

아울러 아직 법적 의무 기한이 도래하지 않은 △주민등록번호와 연계정보 분리 보관 △연계정보 저장 시 암호화 △연계정보 제공기관·시기 등에 관한 자료의 기록·보관 등 3개 항목에 대해서는 개선 권고를 의결했다.

이는 해당 항목들이 이번 연계정보 유출사고의 주요 원인이 된 점을 고려해 시행 전이라도 보안 공백을 최소화하고, 이용자 피해를 방지하기 위한 행정지도 차원의 조치다.

방미통위는 향후 실태점검 항목에 주민등록번호와 연계정보 분리 보관 준수 여부 등을 포함해 연계정보 운영관리 실태를 점검할 계획이다.

또 이용자 보호 방안 마련을 위한 연구반 운영과 함께 주민등록번호와 연계정보 분리 보관 유예기간 단축 등 제도개선을 추진할 예정이다.

박지혜 기자 pjh@newsprime.co.kr

인사이드컷