[IE 금융] 금융감독원(금감원)이 작년 대규모 고객 정보가 빠져나간 롯데카드에 영업정지 4.5개월과 과징금 50억 원을 사전 통지했다. 이는 최대한도 수준의 제재안인 것으로 알려졌다.

9일 금융권에 따르면 금감원은 지난주 '금융기관 검사 및 제재에 관한 규정'에 따라 영업정지·과징금·인적 제재 등이 담긴 제재안을 롯데카드에 사전에 알렸다.

이와 관련해 금감원 측은 "사전 통지는 맞지만, 확정된 사안은 아니고 오는 16일 제재심의위원회(제재심)에서 논의할 예정"이라고 설명했다. 제재심 이후 금융위원회(금융위) 정례회의 의결을 통해 최종 제재가 확정된다.

여신전문금융업법을 보면 개인정보 유출 사고에서 소비자 보호에 미흡한 점이 인정되면 최대 6개월의 영업 정지가 가능하며 신용정보법 적용 시 최대 50억 원의 과징금이 부과할 수 있다.

작년 9월 롯데카드에서는 전체 회원 약 3분의 1에 해당하는 297만 명의 정보가 유출됐다. 297만 명 중 222만 명은 카드번호와 가상결제코드 및 결제금액과 같은 온라인 결제 정보가 빠져나갔다. 나머지 47만 명은 카드번호와 CI(온라인상 본인 확인을 위해 암호화된 고윳값), 주민등록번호, 온라인결제정보가 샜다.

유출은 온라인 간편결제 시스템 해킹 때문에 벌어졌다. 개인정보위 조사 결과 롯데카드는 온라인 결제 관련 로그에서 주민등록번호를 비롯한 여러 개인정보를 평문으로 저장했다. 개인정보보호법 제24조의2에 따르면 명백히 필요할 경우에만 주민등록번호를 기록할 수 있도록 규정하는데, 이 카드사는 이를 벗어난 것. 또 로그 파일에 대한 암호화도 제대로 이뤄지지 않았다.

다행히 현재까지 이번 사이버 침해 사고 이후 부정사용 시도나 실제 소비자 피해로 이어진 사례는 한 건도 없었으며 사고 후 부정사용 가능성이 있는 롯데카드 고객 28만 명 가운데 카드 재발급을 신청한 고객에 대한 재발급은 끝났다.

여기 더해 이 기간 고객정보가 유출된 전체 고객 297만 명 중 49%에 해당하는 146만 명이 카드 재발급 신청, 비밀번호 변경, 카드 정지 및 해지 등의 보호 조치를 마쳤다.

한편, 개인정보보호위원회(개보위)는 지난달 12일 과징금 96억2000만 원과 과태료 480만 원 부과를 통보했으며 롯데카드에 개인정보보호책임자(CPO) 책임 및 독립성을 강화하고 개인정보 보호 체계를 정비하도록 요구했다.

/이슈에디코 강민희 기자/