모두의공원

개인정보위, '297만 회원 정보유출' 롯데카드에 과징금 96억 부과 2

2026-03-12 10:06:02 수정일 : 2026-03-12 10:08:45 49.♡.67.70
_딘_

1572341387347 (전화).jpg



개인정보위, '297만 회원 정보유출' 롯데카드에 과징금 96억 부과 | 뉴시스

개인정보위, 과징금 96억2000만원·과태료 480만원 부과
온라인 간편결제 시스템 해킹으로 297만명 신용정보 유출
45만명 주민번호까지 노출…결제 로그파일 암호화 조치 미흡
위반사실 홈페이지 공표·CPO 독립성 강화 등 시정명령 의결



사업자명

위반 내용

위반 조항

시정조치(안)

롯데카드(주)

⦁주민등록번호 처리제한

⦁주민등록번호 암호화

보호법

§24의2

①, ②

⦁과징금 96억 2,000만 원

⦁과태료 480만 원

⦁시정명령

⦁공표명령


개인정보위, 개인정보 보호 법규 위반 ‘롯데카드’ 제재


- 금융당국(유출 제재)과 역할 분담, ‘주민번호 처리 의무’ 위반으로 과징금 96억 2,000만 원, 과태료 480만 원 부과

- “개인정보 보호체계 전반 점검 및 CPO 책임·독립성 강화” 시정명령 병행

- 금융분야 주민번호 처리 관련 사전 실태점검 추진


개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 3월 11일(수) 제4회 전체회의를 열고, 개인정보 보호 법규를 위반한 롯데카드㈜(이하 ‘롯데카드’)에 대해 과징금 96억 2,000만 원과 과태료 480만 원을 부과하고, 시정 및 공표 명령을 의결하였다.


개인정보위는 ’25.9.22. 금융감독원에서 롯데카드의 ‘개인신용정보 누설 신고 사실’을 알려옴에 따라 관련 사실 확인을 위해 조사에 착수하였다.


롯데카드의 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인신용정보가 유출되었으며, 그 중 45만 명의 주민등록번호도 함께 유출된 사실을 확인하였다.


< 법 적용 등 위반내용 및 처분결과 >


「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보법’)은 개인신용정보 처리에 관한 특별법으로, 개인신용정보에 관하여는 신용정보법이 「개인정보 보호법」(이하 ‘보호법’)에 우선하여 적용되는 반면, 신용정보법에 규정되어 있지 않은 개인정보의 처리에 대해서는 보호법이 적용된다.


이에 금융당국은 롯데카드의 개인신용정보 유출과 관련한 안전조치의무를 중심으로 신용정보법 위반 여부를, 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사하였다.


개인정보위 조사 결과에 따르면, 롯데카드는 온라인 결제와 관련된 로그*에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록하는 등 법에서 허용한 범위**를 벗어나 주민등록번호를 처리하였다. 아울러, 로그 파일에 대한 암호화 조치도 충분히 하지 않았다.


* 컴퓨터 시스템이나 네트워크 등에서 발생하는 일련의 작업이나 사건에 대한 기록

** 주민등록번호는 ①법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 처리를 요구하거나 허용한 경우, ②정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 등에 한해 처리 가능(개인정보 보호법 제24조의2)


또한 로그 파일에는 불가피한 경우에 한해, 최소한의 개인정보만 기록하여야 함에도, 롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 이번 해킹사고가 대규모 개인정보 유출로 이어진 원인 중 하나로 파악되었다.


개인정보위는 롯데카드가 법적 근거 없이 주민등록번호를 처리한 행위와, 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대하여 과징금 96억 2,000만 원과 과태료 480만 원을 부과하고, 처분 사실을 사업자 누리집(홈페이지)에 공표하도록 명령하였다.


이와 함께, 전반적인 개인정보 처리 현황을 점검 및 개선하고, 개인정보 보호책임자(CPO)의 책임·독립성 강화를 포함하여 개인정보 보호 체계 전반을 정비하도록 시정조치를 명하였다.


< 이번 조사‧처분의 의의 및 향후 계획 >


개인정보위는 법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련하여, 금융분야 사업자들에 대한 사전 실태점검을 추진할 계획(3월 예정)이다.


개인정보위는 이번 사건을 계기로 사업자 스스로 개인정보 오‧남용에 대한 경각심을 가지고 개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검하고 개선해 나갈 것을 강조했다.

출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11878
_딘_ 님의 게시글 댓글
SIGNATURE
ICT, 전자제품 등의 과학 기술 관련 내용은 새소게에 주로 올립니다.
게시물이 수정 중 일 때도 있습니다.
제목만 보는 것이 아니라 본문과 출처 링크 내용도 보고 댓글을 작성해주세요.
최대한 본문에 링크나 출처를 명시하는 것을 원칙으로 하고 있습니다.
출처 링크를 참고하여 전체 내용을 참고하세요.
서명 더 보기 서명 가리기
alvysinger
IP 104.♡.102.65
03-12 2026-03-12 10:13:32
·
쿠팡 3천만 회원 정보 유출이니 960억 과징금 나오려나요?
루션
IP 118.♡.2.4
03-12 2026-03-12 10:22:12
·
근데 과징금은 국고로 귀속되는거고 피해자 손해배상은 알아서 해야한다는게.. ㅎㅎ
목록으로
글쓰기
글쓰기
목록으로 댓글보기