'롯데카드 정보유출' 연계정보(CI) 긴급 점검

다음은 대한민국 정부 부처인 방송통신위원회에서 발표한 '롯데카드 정보유출' 연계정보(CI) 긴급 점검 보도자료에 대한 상세하고 포괄적인 요약입니다.

1. 핵심 요약

2025년 9월 22일, 방송통신위원회(KCC)는 최근 발생한 롯데카드 해킹 사고로 개인정보와 함께 '연계정보(CI)'가 유출된 사실을 확인하고 이에 대한 긴급 점검을 실시한다고 발표했습니다. 연계정보(CI)는 주민등록번호를 암호화하여 이용자를 식별하는 중요한 정보로, 방송통신위원회와 한국인터넷진흥원(KISA) 직원으로 구성된 점검반은 이날부터 CI의 분리·보관, 암호화, 침해사고 대응 계획 등 전반적인 안전조치 및 관리 실태를 집중적으로 들여다볼 예정입니다. 점검 결과 「정보통신망법」 등 관련 법령 위반 사항이 발견될 경우 과태료 부과 등 엄중한 법적 조치가 이루어지며, 이용자 보호를 위한 추가적인 방안도 검토될 것입니다.

2. 주요 내용

• 롯데카드 정보유출 사고와 연계정보(CI) 유출 확인: 최근 롯데카드에서 발생한 해킹 사고로 고객의 개인정보뿐만 아니라 주민등록번호를 암호화한 '연계정보(CI)'까지 유출된 사실이 확인되었습니다. 이는 단순한 개인정보 유출을 넘어, 개인 식별의 기반이 되는 중요 정보의 보안 취약성을 드러낸 심각한 사안으로 인식되고 있습니다.
• 방송통신위원회의 긴급 점검 실시: 방송통신위원회(KCC)는 2025년 9월 22일부로 롯데카드의 연계정보(CI) 안전조치 및 관리 실태에 대한 긴급 점검을 시작한다고 밝혔습니다. 이번 점검은 정보통신서비스 제공자의 개인정보 보호 의무 이행 여부를 철저히 확인하여 유사 사고 재발을 방지하고 이용자 피해를 최소화하는 데 목적이 있습니다.
• 연계정보(CI)의 정의 및 중요성: '연계정보(Connecting Information, CI)'는 주민등록번호를 직접 사용하지 않고도 이용자를 식별하여 개인별 맞춤 서비스를 제공할 수 있도록 암호화된 정보입니다. 이는 주민등록번호의 직접적인 유출 위험을 줄이기 위해 도입된 대체 식별 체계이지만, CI 자체가 유출될 경우 다른 정보와 결합하여 개인을 식별할 수 있는 위험이 있어 철저한 관리가 요구됩니다.
• 점검반 구성 및 주요 점검 항목: 방송통신위원회 담당 공무원과 한국인터넷진흥원(KISA) 직원으로 구성된 전문 점검반이 이번 긴급 점검을 수행합니다. 주요 점검 항목으로는 ▲연계정보와 주민등록번호의 분리·보관 및 관리의 적정성 ▲저장 및 전송 구간에서의 암호화 조치 여부 ▲침해사고 발생 시 대응 계획의 적정성 등이 포함되어, 전반적인 보안 시스템과 관리 체계를 면밀히 들여다볼 예정입니다.
• 법령 위반 시 엄중한 제재 조치: 점검 결과 롯데카드가 연계정보 유출을 방지하기 위한 안전조치를 제대로 이행하지 않는 등 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 정보통신망법) 등 관련 법령을 위반한 사실이 드러날 경우, 방송통신위원회는 해당 법령에 따라 과태료 부과 등의 행정처분을 내릴 계획입니다. 이는 기업의 정보보호 책임성을 강화하기 위한 강력한 의지를 보여줍니다.
• 이용자 보호를 위한 추가 조치 방안 검토: 방송통신위원회는 이번 긴급 점검 및 법적 제재와는 별개로, 롯데카드 고객을 포함한 정보통신서비스 이용자들의 개인정보를 더욱 효과적으로 보호하기 위한 추가적인 조치 방안을 다각도로 검토할 예정입니다. 이는 단순한 사후 처리를 넘어, 근본적인 이용자 보호 대책 마련으로 이어질 수 있습니다.

3. 배경 및 목적

이번 긴급 점검은 최근 빈번하게 발생하는 대규모 개인정보 유출 사고, 특히 금융기관을 대상으로 한 해킹 공격의 심각성을 배경으로 합니다. 롯데카드 해킹 사고는 단순한 고객 정보 유출을 넘어, 주민등록번호를 대체하기 위해 도입된 '연계정보(CI)'마저 유출되었다는 점에서 그 파급력이 더욱 크다고 판단되었습니다. 연계정보(CI)는 주민등록번호의 직접적인 노출 위험을 줄이고자 도입된 암호화된 식별 정보이지만, 이 정보가 유출될 경우 다른 개인정보와 결합되어 개인을 식별하거나 추가적인 피해를 야기할 수 있는 잠재적 위험을 내포하고 있습니다.

따라서 이번 점검의 주된 목적은 첫째, 롯데카드의 연계정보(CI) 관리 시스템이 「정보통신망법」 등 관련 법규에서 정한 안전조치 의무를 제대로 이행하고 있었는지 철저히 확인하는 것입니다. 둘째, 유출된 연계정보(CI)로 인해 발생할 수 있는 추가적인 피해를 예방하고, 이용자들이 안심하고 금융 서비스를 이용할 수 있도록 정보보호 환경을 강화하는 데 있습니다. 셋째, 이번 사고를 계기로 다른 정보통신서비스 제공자들에게도 경각심을 일깨워 개인정보 보호에 대한 책임감을 높이고, 전반적인 정보보호 수준을 향상시키는 것을 목표로 합니다. 궁극적으로는 국민의 소중한 개인정보를 안전하게 보호하고 디지털 사회의 신뢰를 구축하는 데 기여하고자 합니다.

4. 세부 추진 내용

방송통신위원회는 이번 긴급 점검을 위해 담당 공무원과 한국인터넷진흥원(KISA)의 전문 인력으로 구성된 합동 점검반을 즉시 구성하여 2025년 9월 22일부터 현장 점검에 착수했습니다. 한국인터넷진흥원(KISA)은 정보보호 및 개인정보보호 분야의 전문성을 갖춘 기관으로, 기술적인 측면에서 심층적인 분석과 평가를 담당하게 됩니다.

점검반은 롯데카드의 연계정보(CI) 관리 시스템 전반에 걸쳐 다음 세 가지 핵심 영역을 집중적으로 들여다볼 예정입니다. 첫째, '연계정보와 주민등록번호의 분리·보관 및 관리 적정성'입니다. 이는 CI가 주민등록번호와 물리적, 논리적으로 분리되어 안전하게 보관되고 있는지, 그리고 접근 권한 관리 등 전반적인 관리 체계가 적절한지를 확인하는 것입니다. 둘째, '저장 및 전송 구간 암호화' 여부입니다. CI가 데이터베이스에 저장될 때나 네트워크를 통해 전송될 때 강력한 암호화 기술이 적용되어 외부 유출 시에도 정보가 보호될 수 있도록 조치되었는지 검토합니다. 셋째, '침해사고 대응계획 적정성'입니다. 해킹 등 침해사고 발생 시 신속하고 효과적으로 대응할 수 있는 비상 계획이 수립되어 있는지, 그리고 실제 사고 발생 시 해당 계획이 제대로 작동했는지 등을 평가하여 재발 방지 및 피해 최소화 역량을 점검합니다. 이번 점검은 롯데카드의 정보보호 시스템 전반에 대한 심층적인 진단이 될 것입니다.

5. 기대 효과

이번 방송통신위원회의 긴급 점검을 통해 다음과 같은 구체적인 기대 효과를 예상할 수 있습니다. 첫째, 롯데카드 고객을 포함한 금융 서비스 이용자들의 개인정보 보호 수준이 실질적으로 향상될 것입니다. 연계정보(CI)의 안전한 관리와 암호화 조치에 대한 점검을 통해 잠재적인 보안 취약점이 개선되고, 이는 곧 고객 정보 유출 위험 감소로 이어질 것입니다. 둘째, 정보통신서비스 제공 기업들의 정보보호 책임감이 강화될 것입니다. 법령 위반 시 과태료 등 엄중한 제재가 뒤따른다는 점은 기업들이 개인정보 보호를 단순한 의무가 아닌 핵심 경영 과제로 인식하고 적극적으로 투자하게 만드는 동기가 될 것입니다. 셋째, 디지털 금융 환경 전반의 신뢰도가 제고될 것입니다. 정부의 적극적인 감독과 제재는 국민들이 온라인 금융 서비스를 더욱 안심하고 이용할 수 있는 기반을 마련하며, 이는 장기적으로 디지털 경제 활성화에도 긍정적인 영향을 미칠 것입니다. 궁극적으로는 수많은 금융 서비스 이용자들의 민감한 개인정보가 더욱 안전하게 보호되는 효과를 가져올 것으로 기대됩니다.

6. 향후 계획

방송통신위원회는 이번 긴급 점검을 신속하게 마무리하고, 점검 결과 드러난 위법 사항에 대해서는 「정보통신망법」 등 관련 법령에 따라 과태료 부과 등 필요한 행정처분을 지체 없이 진행할 예정입니다. 단순한 처벌을 넘어, 이번 롯데카드 정보유출 사고를 계기로 이용자 보호를 위한 추가적인 조치 방안을 다각도로 검토할 계획입니다. 이는 현재의 법규 및 제도 개선, 정보보호 기술 가이드라인 강화, 그리고 기업들의 자율적인 정보보호 역량 강화를 위한 지원 방안 모색 등을 포함할 수 있습니다. 또한, 유사 사고의 재발을 방지하기 위해 다른 금융기관 및 정보통신서비스 제공자들의 연계정보(CI) 관리 실태에 대한 상시 모니터링을 강화하고, 필요시 추가적인 점검을 실시하는 등 지속적인 감독 활동을 펼쳐나갈 것입니다. 방송통신위원회는 앞으로도 국민의 소중한 개인정보를 안전하게 보호하고 디지털 환경에서의 신뢰를 확보하기 위한 노력을 지속적으로 기울일 것입니다.