[로리더] 민주사회를 위한 변호사모임(민변)은 19일 “롯데카드사의 심각한 개인정보 유출을 강력히 규탄하며, 신속하고 철저한 조사를 통해 더 이상의 피해가 없도록 요구한다”고 촉구했다.

민변
민변

민변 디지털정보위원회는 “18일 롯데카드사 고객 297만명의 개인정보가 외부 해킹 공격으로 유출됐다. 이는 롯데카드사 회원 960만 명의 1/3에 해당하는 숫자로, 연계정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호 등이 유출됐으며, 이 중 28만명은 카드번호, 유효기간, CVC번호 등 카드결제와 직결된 정보까지 유출됐다”고 밝혔다.

민변은 “SKT사의 막대한 유심(USIM) 정보 유출 사태가 발생한 지 5개월이 채 안 된 시점에서 또다시 기업에서 대량의 개인정보가 유출된 것”이라며 “고객의 개인정보를 보호하지 못한 롯데카드사를 강력히 규탄하며, 근본적인 대책과 재발방지 마련을 요구한다”는 성명을 발표했다.

롯데카드사는 이번 개인정보 유출 사고에 대해 “일부 항복만 제한적으로 유출된 269만명에 대해서는 해당 정보만으로 카드 부정사용이 발생할 가능성은 없다”고 밝혔다.

롯데카드
롯데카드

민변은 “개인정보는 유출됐지만 부정사용 가능성은 없으니, 이번 사태로 인한 고객들의 피해가 전무하다는 의미”라며 “그러나 롯데카드사는 고객들의 개인정보를 보호하지 못한 것만으로도 개인정보보호법 제29조 안전조치의무를 위반한 것이며, 고객들의 헌법상의 개인정보자기결정권을 심각하게 침해한 것”이라고 지적했다.

민변 디지털정보위원회는 “특히 이번 사태에서 유출된 269만개의 주민등록번호 및 연계정보(CI)는 개인정보보호법상 특히 보호받아야 하는 고유식별정보에 해당하여, 이 정보의 유출로서 야기되는 정보주체에 대한 권리 침해는 매우 중대하다”고 우려했다.

민변은 “더욱 심각한 것은 28만명이라는 수많은 고객들의 CVC정보, 카드번호 및 유효기간이 유출된 것인데, 이 정보를 습득한 자는 누구든지 카드를 부정사용할 가능성이 있다”며 “그럼에도 롯데카드사는 이 정보가 유출된 고객들에게 ‘회원님의 유출 정보가 부정사용으로 이어질 가능성은 낮다. 카드 재발급은 필요하지 않으며, 카드 비밀번호 변경 및 해외결제차단 설정을 권장드린다’는 성의 없는 내용의 공지만 안내했다”고 비판했다.

민변은 “개인정보처리자로서 개인정보보호법 제34조에 규정돼 있는 피해 최소화 대책 마련 의무가 있음에도, 오히려 미봉책으로 고객들을 기만하고 있는 것”이라고 지적했다.

롯데카드사 사과
롯데카드사 사과 

민변은 “지난 SKT사 유심정보 유출은 정보처리자인 SKT가 고객들의 개인정보를 암호화해 저장하지 않고, 접속기록을 부실히 관리한 것이 주요한 원인이었다”며 “나아가 사건 발생 이후에도 정보주체에게 개인정보 유출을 제대로 통지하지 않았으며, 피해 최소화 조치조차 위반했다”고 짚었다.

민변은 “이번 롯데카드사 또한 해커의 최초 공격 이후 19일간 해킹 사실을 전혀 인지하지 못한 사실이 확인되었는데, 이는 그 유출의 경위와 피해의 양상이 매우 유사하다”며 “롯데카드사는 SKT 사태를 보고도 아무런 안전조치도 시행하지 않은 것인지 개탄스러울 따름”이라고 개탄했다.

민변은 “롯데카드사는 피해 고객들에 대한 보상으로 ‘무이자 10개월 할부 서비스’, ‘카드사용 알림 서비스 무료 제공’ 등을 발표했을 뿐, 근본적인 해결 방안을 전혀 제시하지 않았다”며 “어떠한 과실로 막대한 정보의 유출이 있었는지, 그리고 왜 유출 사실을 인지하는데 그토록 오랜 시간이 걸렸는지 등 사고 경위와 원인에 대해 제대로 밝히지 않았다”고 질타했다.

이에 민변 디지털정보위원회에 롯데카드사에 다음과 같이 요구했다.

▲롯데카드사는 이번 유출사태의 경위를 투명하게 공개하고, 독립적인 조사를 통해 책임 소재를 명확히 밝혀라.

▲개인정보 관리체계를 전면적으로 검토하고 수정하여 재발방지 대책을 마련하라.

▲개인정보자기결정권을 침해당한 정보주체들에게 진심 어린 사과와 근본적인 보상안을 제시하라.

▲개인정보보호위원회 등 유관 당국은 피해 규모를 낱낱이 조사하여 롯데카드사에게 응당한 책임을 물어라.

이와 함께 민변은 “이처럼 비슷한 양상의 정보유출 사고 반복되는 것을 단순히 사기업의 잘못으로만 치부해서는 안 된다”며 “그동안 개인정보보호위원회는 규제 타파와 산업 진흥을 표방하며, 기업의 민원창구 역할을 해왔다. 최근 정보유출 사고가 발생한 기업들 모두 이번이 첫번째 사고가 아니다”고 짚었다.

민변은 “감독당국은 계속된 정보유출 사고에도 솜방망이 처벌을 반복했고, 자연스럽게 정보 보안에 투자하는 것보다 행정제재에 대응하는 것이 더 저렴하고, 효율적인 보안 환경을 조성됐다”고 지적ㅈ했다.

민변은 “이러한 상황에서 기업의 자발적인 내부통제를 기대하는 것은 허상”이라며 “개인정보보호위원회는 사후 대응 중심의 정책 기조를 수정해 적극적으로 사전 예방을 위한 정책을 추진해야 한다”고 제시했다.

민변은 “정보 집적을 유도하는 수많은 제도 속에서 개인정보보호위원회가 사후 대응 위주의 정책을 고수한다면, 정보유출 사고는 반복될 수밖에 없다. 개인정보보호위원회는 국민의 절대 다수인 정보주체를 대변하라”고 촉구했다.

민변 디지털정보위원회는 “고객의 개인정보는 기업의 자산이 아니라, 헌법상 보장되는 기본권의 영역”이라며 “이번 롯데카드사의 심각한 개인정보 유출을 강력히 규탄하며, 신속하고 철저한 조사를 통해 더 이상의 피해가 없도록 요구한다”고 강조했다.

[로리더 신종철 기자 sky@lawleader.co.kr]

키워드

#민변 #롯데카드 #개인정보유출
저작권자 © 로리더 무단전재 및 재배포 금지