안녕하십니까? 개인정보보호위원회 조사1과장 윤여진입니다.
개인정보보호위원회는 3월 11일 제4회 전체회의를 열고 개인정보보호법을 위반한 롯데카드에 대해 과징금 96억 2,000만 원과 과태료 480만 원을 부과하고 시정명령 및 공표명령을 의결하였습니다.
우리 위원회는 지난해 9월 금융감독원이 롯데카드의 개인 신용정보 누설 신고 사실을 알려옴에 따라 조사에 착수하였습니다.
롯데카드는 온라인 간편결제 시스템 해킹으로 로그 파일에 기록된 이용자 약 297만 명의 개인 신용정보가 유출되었고 그중 45만 명의 주민등록번호도 함께 유출되었습니다.
신용정보법은 개인 신용정보의 처리에 관한 특별법으로 개인 신용정보에 관하여는 신용정보법이 개인정보보호법에 우선하여 적용되는 반면, 신용정보법에 규정되어 있지 않은 개인정보 처리에 관해서는 개인정보보호법이 적용됩니다.
이에 개인정보위는 롯데카드의 주민등록번호 처리를 중심으로 보호법 위반 여부를 조사하였습니다. 조사 결과에 따르면 롯데카드는 온라인 결제 관련된 로그에 주민등록번호 등을 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 주민등록번호를 처리하였고 암호화 조치도 충분히 하지 않았습니다.
롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 저장해 온 것이 이번 해킹 사고가 대규모 개인정보 유출로 이루어진 원인 중 하나로 파악되었습니다.
개인정보위는 롯데카드가 법적 근거 없이 주민등록번호를 처리한 행위와 그 과정에서 충분한 암호화를 적용하지 않은 행위에 대하여 96억 2,000만 원의 과징금, 480만 원의 과태료를 부과하고 처분 사실을 홈페이지에 공표하도록 명령하였습니다.
이와 함께 전반적인 개인정보 처리 현황을 점검하고 개인정보 보호 책임자의 책임성 및 독립성을 강화하는 등 개인정보 보호체계 전반을 정비하도록 시정조치를 명하였습니다.
본 사건은 2014년 주민등록번호 법정주의가 도입된 지 10년이 훨씬 넘었음에도 여전히 주민등록번호를 관행적으로 과도하게 처리하는 사실을 확인하였습니다. 우리 위원회는 금융 분야 사업자 전반에 대해 주민등록번호 처리 관행을 사전 실태 점검할 계획입니다.
이번 사건을 계기로 사업자 스스로 개인정보 오남용에 대한 경각심을 가지고 개인정보 보호 원칙에 따라 주기적으로 개인정보 처리 현황을 점검하고 개선해 나갈 것을 기대합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 안녕하세요? 저는 두 가지 질문이 있는데요. 일단 SK텔레콤 경우에는 1,348억 원의 과징금을 부과하셨고 지금 롯데카드 같은 경우에는 96억 원의 과징금을 부과하셨는데 롯데카드 같은 경우에는 지금 주민번호라든지 금융정보 노출이 되게 많은 상황인데 왜 SK텔레콤하고 비교했을 때 어떤 근거에 의해서 이렇게 과징금 차이가 많이 나는지 그 부분에 대해서 설명해 주시면 좋겠고요.
그리고 지금 금감원에서 이렇게 하면서 이 사건 조사가 시작됐는데 혹시 금융당국과 현재 또 추가적으로 자료, 보도자료 외에 논의 중인 사항이 혹시 있으시면 그 부분 말씀해 주시면 좋겠습니다.
<답변> 먼저, 저희가 지금 아시다시피 금융감독에서 조사하는 부분과 저희 쪽의 조사하는 부분이 역할이 분담되어 있습니다. 그리고, 그래서 SKT 건과는 사건이 좀, 위반 행위나 이런 부분에 대해서 보는 점이 다르고요.
먼저 말씀드렸듯이 금융당국에 대해서, 금융당국에서는 개인 신용정보 유출과 관련한 안전조치 위반에 대해서 조사를 하고 있습니다. 그리고 현재 조사 중이고 처분은 추후에 이루어질 예정입니다.
그리고 저희 위원회 같은 경우는 유출과 관련된 안전조치가 아니라 주민등록번호를 법적 근거 없이 처리하고 주민등록번호를 암호화 조치하지 않은 부분에 대한 부분이어서 위반 사실이 차이가 있고요.
그리고 저희가 당시 관련 매출액에 대해서는 온라인 결제 서비스, 그 시스템 한정해서 하다 보니까 매출액 기준 자체가 달라졌다고 보시면 될 것 같습니다.
<질문> 과징금이 국내 기업 중에 역대 몇 번째 규모로 처분이 됐는지 궁금하고요. 3% 룰 적용하면 좀 적은 수준 아닌지 이에 대한 설명도 부가적으로 부탁드립니다.
<답변> 저희가 과징금은 원칙적으로 시작은 전체 매출액 기준인데 그 관련 매출액이 아닌 부분, 이 부분에 대해서 피심인 측에서, 사업자 측에서 입증하고 그것이 타당할 경우 그걸 빼는 방식입니다.
그러다 보니까 관련 매출액은 전체 매출액과 차이가 있을 수 있고, 다음에 그걸 기준으로 해서 저희가 중대성 판단을 합니다. 위반 행위가 중대한지를 판단하고 그에 따라 비율이 달라지고 다시 한번 1차 조정과 2차 가중·감경 등을 거쳐서 나온다고 보시면 될 것 같습니다.
그리고 또 뭐였죠? <질문> ***
<답변> 저희가 국내 기업 중에는 아마 SKT가 가장 컸을 테고 순서... 순번은 확인, 저희가 한번 확인을 해봐야 될 것 같습니다.
<질문> 두 가지 질문이 있는데요. 하나는 제가 좀 잘 몰라서 그러는데 별도의, '평문으로 저장을 한다, 개인정보를 평문으로 기록하는 등 법에서 허용한 범위를 벗어나 주민번호를 처리했다.'라는 부분이 어떤 부분인지 친절하게 설명해 주시면 너무 감사하겠고요.
그다음에 금융 분야로 주민번호를 과도하게 쓰는 여부를 실태조사를 하신다고 했는데 해당 계획이 구체적으로 어떤 것인지도 궁금합니다.
하나만 더 조금 질문을 하자면, 매출액에서 온라인 간편결제 부분만 매출액을 추렸다고 하는데 이 부분이 타당성 있게 받아들여진 이유도 궁금합니다.
<답변> 로그 파일에, 저희가 로그 파일에는 과도한 개인정보를 기록하지 않도록 돼... 최소한 필요한 경우에만, 그것도 불가피한 경우에만 최소한의 개인정보만 기록하도록 되어 있음에도 이 로그 파일에 평문으로 저장했다는 거는 주민등록번호 그대로 13자리 보이게 저장됐다는 겁니다. 그래서 해커가, 유출 부분은 금융위 쪽이긴 하지만 해커가 그거를 그대로 평문으로 된 부분을 가져간 부분이 있습니다.
그리고 사전 실태 점검은 저희가 과 신설로 예방 중심으로 전환하면서 사전실태점검과가 생겼기 때문에 이쪽에서 이번 달 내로 추진할 계획이어서 아직 저희가 분야나 대상 사업자를 몇 개로 할 건지 어떻게 볼 건지에 대해서는 추후에 말씀드려야 될 것 같고요.
온라인 간편결제는 아니고 온라인 결제 시스템입니다. 그러니까 간편결제는 더 작은 범위고요. 온라인, 온라인과 오프라인으로 나눴을 때 온라인 결제 서비스 내에서만 매출액을 한정했습니다.
저희가 중점적으로 봤던 거는 로그, 로그에 개인정... 주민등록번호가 그대로 저장되어 있던 건데 그 로그는 온라인 결제 서비스를 이용하는 분, 그러니까 오프라인 결제 외에 카드, 온라... 오프라인 매장에서만 하고 온라인에서는 안 하시는 분 말고 온라인에서도 하시는 분의 경우에만 주민등록번호가 남을 수 있었기 때문에 거기를 한정했다고 보시면 될 것 같습니다.
<질문> 안녕하세요? 혹시 그럼 관련 매출액이 정확히 얼마였는지는 공개하기 어려우실까요?
<답변> 저희가 그 부분에 대해서는 공개하지 않고 있습니다.
<질문> 앞으로 과징금 기준은 사고 발생 시점에 매겨지는 건지, 아니면 의결 시점인지 궁금한데요. 징벌적 과징금 10% 개정안 부과됐잖아요. 그리고 10일에 공포됐고 9월 10일에 시행되는데 앞으로 해킹 사고가 발생하는 기업들은 어떻게 그 기간 내에 적용되는지 궁금합니다.
<답변> 사고 발생 시 기준이고요. 다만, 사고 발생이 되고도 그 위반 행위가 지속되고 있다면 마지막 종료 시까지이기 때문에 그 경우에는 적용될 수도 있습니다.
<질문> 이번에 롯데카드 건은 *** <답변> 사고, 예, 종료 자체가.
<답변> (사회자) 그럼 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주신 기자분들 대단히 감사드립니다.
<답변> 감사합니다. <끝>