개인정보보호위원회(위원장 고학수)가 ‘롯데카드 고객정보 유출’ 조사를 22일 착수했다.
이날 개보위는 "그동안 롯데카드 고객정보 유출 관련 언론보도 등에 따라 사실관계 확인을 지속해 왔으며, 롯데카드가 금융감독원에 개인신용정보 유출 신고를 한 사실을 19일 금융감독원이 개인정보위에 알려옴에 따라 금일 조사를 개시한다"고 밝혔다.
'신용정보법」§39의4⑤'에 따르면, 금융위원회등은 신용정보회사 등의 개인신용정보 누설 신고를 받은 때에는 이를 개인정보 보호위원회에 알려야 한다. 개보위는 "신용정보 외에 개인정보 유출 여부와 보호법 위반 사안이있는지 여부를 면밀하게 확인할 예정이며, 금융당국과 긴밀히 협조해 조사를 진행할 계획"이라고 덧붙였다.
롯데카드 해킹 사고에 적용될 수 있는 법은 전자금융거래법과 신용정보법, 여신전문금융업법, 개인정보보호법(개보법) 등이다. 개보법(제64조의2)은 개인정보 처리자가 개인정보를 분실·도난·유출당한 경우 매출의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있도록 돼 있다.
롯데카드의 지난해 매출액은 2조7000억 원이다. 이론상 최대 과징금은 810억원이다. 롯데카드에 과징금을 부과하려면 개보법 적용을 받는지 여부가 중요한데, 주민등록번호가 다른 정보와 결합해 신용정보화 될 경우에는 '신용정보'로 취급된다. 즉, 개보위는 이름과 주민등록번호 유출만 조사 대상이다.
개보법 시행령 제40조에 따르면 1000명 이상의 개인정보가 유출된 경우 72시간 내 개보위나 한국인터넷진흥원 등에 신고해야 한다.
관련기사
- 개보위, 개인정보보호 제품 판로개척 등 지원2025.09.22
- 개보위, 지자체 법규 개인정보 침해요인 개선 추진2025.09.14
- 개인정보 유출 책임 CEO가 진다...개보위, 종합 대책 발표2025.09.11
- 인구 7만 읍이 글로벌 기술혁신 허브로…K-배터리 심장 오창 가보니2025.09.22
한편 회원 960만 명을 보유, 가입자 수 업계 5위인 롯데카드의 해킹 피해 규모가 297만 명에 달하는 것으로 나타났는데, 이 중 28만 명은 부정 사용 가능성이 있는 것으로 파악됐다. 이에, 지난 18일 조좌진 롯데카드 대표는 대국민 사과문을 발표하며 "피해액 전액을 보상하겠다"고 밝힌 바 있다.
앞서 지난 8월 롯데카드의 온라인 결제 서버(WAS 서버)가 해킹을 당했고, 회사는 유출 규모가 약 1.7GB로 보고했지만, 조사 결과 200GB 규모로 추산됐다. 이는 SK텔레콤 해킹 사고때 유출된 데이터(9.82GB)보다 20배가 많은 양이다. 해킹은 2017년 롯데카드가 48개 서버의 보안을 강화하는 과정에서 업그레이드(패치)를 누락한 1개 서버가 문제가 돼 발생했다.
