수백 만 건의 개인·신용정보를 유출한 롯데카드가 개인정보보호위원회(개인정보위)로부터 과징금 96억 2000만원, 과태료 480만원을 부과받았다.
개인정보위는 11일 4회 전체회의를 열고 롯데카드 온라인 간편시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출, 45만명의 주민등록번호도 함께 유출된 사실을 확인하고 이 같은 처분 결과를 의결했다고 12일 밝혔다.
개인정보위는 2025년 9월 22일 금융감독원으로부터 신고 사실을 전달받아 조사에 들어갔으며, 개인정보 처리에 관한 개인정보보호법에 위반되는 사안을 중심으로 처분을 내렸다.
조사에 따르면 롯데카드는 온라인 결제와 관련한 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록했다. 로그 파일에는 최소한의 개인정보만 기록해야 하지만 롯데카드가 로그에 주민등록번호를 포함한 다수 개인정보를 별도 검토없이 저장해원 것이다.
로그는 컴퓨터 시스템이나 네트워크 등에서 발생하는 일련의 작업이나 사건에 대한 기록을 의미한다.
이는 정보 주체 또는 제3자의 급박한 생명·신체·재산 이익을 위해 명백히 필요하다고 인정되는 경우 등 개인정보보호법 제24조 2항을 벗어나는 수준이었다고 개인정보위는 부연했다.
로그 파일에 대한 암호화 조치도 충분히 하지 않았다.
개인정보위는 이 같은 롯데카드에 과징금과 과태료를 부과하고 처분 사실을 사업자 홈페이지에 공표하도록 명령했다.
관련기사
- "1년도 안 남아" 국세청, 가상자산 과세 시스템 이제야 첫 삽2026.03.11
- 토스뱅크, 엔화 50% 할인 표시 사과…"거래 취소 및 차액 결제된다"2026.03.11
- 무보, ‘이란 사태 비상대책 TF’ 가동2026.03.11
- 토스뱅크서 엔화 50% 싸다고?…"내부 점검 오류"2026.03.10
또 개인정보보호책임자(CPI) 책임·독립성 강화를 포함해 개인정보보호 체계 전반을 정비하도록 시정 조치를 내렸다.
개인정보위 측은 "롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 대규모 개인정보 유출로 이어진 원인 중 하나"라며 "법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태 점검을 3월 중 추진할 계획"이라고 설명했다.
