[프라임경제] 롯데카드가 개인신용정보 노출, 중요 데이터 관리와 관련 해 금융감독원으로부터 제재를 받았다.

2일 금감원은 롯데카드에 기관주의와 함께 3600만원의 과태료를 부과했다. 또 임원 1명에게는 퇴직자 위법·부당사항(주의 상당), 직원에게는 자율처리 필요사항 2건의 조치가 내려졌다.

이는 롯데카드가 '신용정보의이용및보호에관한법률' 및 '전자금융거래법'을 위반한 것에 따른 제재다.

지난 2022년 롯데카드는 자사 모바일 앱의 휴대폰 본인인증서비스를 신규 프로그램으로 30여분 간 임시 운영하는 과정에서 이용자의 개인신용정보를 노출시켰다.

모바일 앱에 반영된 프로그램이 본인인증에 필요한 필수 기관전문관리번호가 누락된 상태로 개발됐기 때문이다. 이용자 매칭 프로세스의 무결성 검증 테스트도 실시하지 않은 것으로 드러났다. 

해당 프로그램이 적용된 당시 모바일 앱 내에서는 이용자의 인증정보가 다른 이용자에게 잘못 매칭돼 카드결제내역 등이 포함된 개인신용정보가 타인에게 노출되는 사고가 발생했다.

데이터 관리가 미비했던 점도 지적됐다. 

롯데카드는 검사대상 기간 중 전산 장애 또는 오류 등의 사유로 결제 금액, 결제 일자, 탈회 법인회원 등 중요 데이터가 저장된 전산원장을 변경하면서 변경 전후 내용을 자동 기록‧보존하지 않았다. 

또 외부주문 업체 직원이 전산원장에 저장된 중요 데이터를 직접 변경하기도 했다. 

현행법은 안전성 및 신뢰성과 금융사의 건전성을 확보하도록 전자금융거래를 위한 외부주문의 경우 중요 데이터 변경을 금지하고 있다. 

아울러 장애 또는 오류 등에 의한 전산원장의 변경을 위해 변경 전후내용을 기록‧보존할 것을 명시하고 있다.

롯데카드는 지난 2020년 개인정보보호법 위반 등의 혐의로 벌금 1000만원 형을 받은 바 있다. 2013년 개인정보 1759만건이 유출될 당시 관리가 소홀했다는 이유에서다.

롯데카드 관계자는 "현재는 문제 없도록 모두 조치 완료했다"고 설명했다. 

한편 이날 금감원은 롯데카드에 전산자료 유출방지 대책 미흡 등으로 경영유의 조치를 내렸다. 단말기 부팅 비밀번호 설정‧시스템 및 데이터베이스 접속 등 보안 관리가 허술하다는 지적이다.