(보도참고) 개인정보위, '롯데카드 고객정보 유출' 조사 착수

다음은 대한민국 개인정보보호위원회에서 발표한 '롯데카드 고객정보 유출' 조사 착수 보도자료에 대한 상세 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 개인정보위)는 2025년 9월 22일, 롯데카드 고객정보 유출 사건에 대한 본격적인 조사에 착수했습니다. 이번 조사는 롯데카드가 9월 19일 금융감독원에 개인신용정보 유출 사실을 신고했고, 금융감독원이 이를 개인정보위에 통보함에 따라 개시되었습니다. 개인정보위는 신용정보 외에 다른 개인정보 유출 여부와 개인정보 보호법 위반 사항을 면밀히 확인하며, 금융당국과 긴밀히 협력하여 조사를 진행할 예정입니다.

2. 주요 내용

• 개인정보위의 롯데카드 고객정보 유출 조사 착수: 개인정보보호위원회는 2025년 9월 22일, 롯데카드 고객정보 유출 사건에 대한 공식적인 조사에 돌입했습니다. 이는 언론 보도 등으로 제기된 의혹에 대한 사실관계를 명확히 규명하고, 관련 법규 위반 여부를 확인하기 위한 조치입니다.
• 금융감독원의 개인정보위 통보가 조사 착수 계기: 롯데카드는 2025년 9월 19일 금융감독원에 개인신용정보 유출 사실을 신고했으며, 「신용정보법」 제39조의4 제5항에 따라 금융감독원은 이 사실을 개인정보보호위원회에 즉시 통보했습니다. 개인정보위는 이 통보를 바탕으로 금일 조사를 개시하게 되었습니다.
• 조사 범위: 신용정보 외 개인정보 유출 및 보호법 위반 여부 확인: 개인정보위는 이번 조사를 통해 롯데카드에서 유출된 정보가 단순히 신용정보에 국한되는지, 아니면 주민등록번호, 주소, 연락처 등 다른 민감한 개인정보까지 포함되는지 여부를 철저히 확인할 예정입니다. 또한, 「개인정보 보호법」 상의 개인정보 안전조치 의무 위반 등 법규 위반 사안이 있었는지도 면밀히 들여다볼 것입니다.
• 금융당국과의 긴밀한 협력 조사: 개인정보위는 이번 조사를 진행함에 있어 금융당국(금융위원회, 금융감독원)과 긴밀하게 협력할 계획입니다. 이는 신용정보 유출과 관련된 사항은 금융당국의 전문성이 요구되며, 개인정보 보호 전반에 대한 사항은 개인정보위의 전문성을 활용하여 보다 효율적이고 포괄적인 조사를 수행하기 위함입니다.
• 사전 사실관계 확인 노력 지속: 개인정보위는 롯데카드 고객정보 유출과 관련하여 언론 보도가 시작된 시점부터 지속적으로 사실관계 확인 작업을 진행해 왔습니다. 이는 공식적인 신고가 접수되기 전이라도 국민의 개인정보 보호를 위해 선제적으로 대응하려는 개인정보위의 의지를 보여줍니다.
• 법적 근거 명시: 「신용정보법」 제39조의4 제5항: 보도자료에는 「신용정보법」 제39조의4 제5항이 명시되어 있어, 금융위원회 등 금융당국이 신용정보회사 등의 개인신용정보 누설 신고를 받은 때에는 이를 개인정보보호위원회에 알려야 하는 법적 의무가 있음을 강조합니다. 이는 기관 간 협력의 중요성을 뒷받침하는 근거입니다.

3. 배경 및 목적

이번 롯데카드 고객정보 유출 사건에 대한 개인정보위의 조사는 최근 급증하는 사이버 위협과 개인정보 유출 사고에 대한 사회적 우려가 커지는 가운데 이루어졌습니다. 디지털 전환이 가속화되면서 금융 서비스를 포함한 다양한 분야에서 개인정보의 중요성이 더욱 부각되고 있으며, 이에 따라 개인정보 유출 사고 발생 시 국민의 불안감은 더욱 증폭될 수밖에 없습니다. 특히 금융 분야의 개인정보는 경제적 피해로 직결될 수 있어 더욱 엄격한 보호가 요구됩니다. 과거에도 대규모 금융권 개인정보 유출 사건들이 발생하여 국민들에게 큰 피해와 불신을 안겨준 바 있으며, 이러한 경험은 개인정보 보호에 대한 정부의 책임감을 더욱 강화하는 배경이 되었습니다.

개인정보위의 이번 조사는 크게 두 가지 목적을 가집니다. 첫째, 유출 사고의 정확한 원인과 경위를 파악하고, 유출된 정보의 종류와 규모, 피해 범위 등을 명확히 규명하여 국민들에게 투명하게 공개하는 것입니다. 이를 통해 피해 확산을 방지하고, 잠재적 피해자들이 적절한 조치를 취할 수 있도록 지원하는 것이 중요합니다. 둘째, 롯데카드가 「개인정보 보호법」 및 관련 법규에 따른 개인정보 안전조치 의무를 충실히 이행했는지 여부를 확인하고, 위반 사항이 발견될 경우 엄중한 행정처분을 부과하여 재발 방지를 위한 경각심을 고취하는 것입니다. 궁극적으로는 국민의 소중한 개인정보를 안전하게 보호하고, 기업의 책임 있는 개인정보 관리 문화를 정착시켜 디지털 사회의 신뢰를 구축하는 데 기여하고자 합니다.

4. 세부 추진 내용

개인정보위는 이번 롯데카드 고객정보 유출 사건 조사를 위해 체계적인 절차와 방법론을 적용할 예정입니다. 우선, 롯데카드로부터 유출 관련 자료 일체를 제출받아 초기 분석을 진행할 것입니다. 여기에는 유출 발생 시점, 경위, 유출된 정보의 종류 및 규모, 내부 보안 시스템 현황, 사고 인지 및 대응 절차 등이 포함됩니다. 이후 필요하다고 판단될 경우, 개인정보위 조사3팀을 중심으로 전문 조사관들이 롯데카드 본사 및 관련 사업장에 대한 현장 조사를 실시할 수 있습니다. 현장 조사에서는 실제 서버 및 네트워크 시스템에 대한 포렌식 분석, 보안 로그 기록 검토, 관련 임직원 인터뷰 등을 통해 유출 경로와 취약점을 심층적으로 파악할 것입니다.

또한, 개인정보위는 금융당국과의 긴밀한 협력 체계를 유지하며 조사를 진행할 것입니다. 롯데카드가 금융감독원에 신고한 개인신용정보 유출 내용과 개인정보위가 조사하는 일반 개인정보 유출 내용을 상호 공유하고, 법률 및 기술적 자문을 교환하여 조사의 효율성과 전문성을 높일 계획입니다. 특히, 신용정보 관련 법규 위반 여부는 금융당국과 협의하여 판단하고, 개인정보 보호법 위반 사항은 개인정보위가 주도적으로 판단하여 조치할 것입니다. 이번 조사는 신속하면서도 철저하게 진행될 예정이며, 특정 예산이 별도로 책정되기보다는 개인정보위의 정규 조사 활동 예산 범위 내에서 추진됩니다.

5. 기대 효과

이번 개인정보위의 롯데카드 고객정보 유출 조사를 통해 여러 긍정적인 효과가 기대됩니다. 첫째, 유출 사고의 전모를 명확히 밝혀냄으로써 피해를 입은 롯데카드 고객들이 자신의 정보 유출 사실을 정확히 인지하고, 필요한 추가적인 보호 조치(예: 명의도용 방지 서비스 가입, 비밀번호 변경 등)를 취할 수 있도록 지원할 수 있습니다. 이는 약 2,000만 명에 달하는 롯데카드 고객들의 개인정보 보호에 직접적인 영향을 미칠 수 있습니다. 둘째, 롯데카드와 같은 대규모 금융기관이 개인정보 보호 의무를 소홀히 했을 경우, 엄중한 제재가 뒤따른다는 선례를 남김으로써 다른 기업들의 개인정보 관리 및 보안 시스템 강화에 대한 경각심을 고취하고 자율적인 개선을 유도할 수 있습니다. 셋째, 개인정보위와 금융당국 간의 협력 조사를 통해 정부 기관 간의 유기적인 공조 체계를 확립하고, 복합적인 성격의 개인정보 유출 사고에 대한 효과적인 대응 모델을 제시할 수 있을 것입니다. 궁극적으로는 국민들이 자신의 개인정보가 안전하게 관리되고 있다는 신뢰를 회복하고, 디지털 사회에서 안심하고 경제 활동을 영위할 수 있는 기반을 마련하는 데 기여할 것으로 기대됩니다.

6. 향후 계획

개인정보위는 이번 롯데카드 고객정보 유출 조사를 신속하고 철저하게 마무리한 후, 조사 결과를 바탕으로 필요한 후속 조치를 취할 예정입니다. 조사 결과 개인정보 보호법 위반 사실이 확인될 경우, 롯데카드에 대해 과징금 부과, 시정명령, 책임자 징계 권고 등 법규에 따른 행정처분을 내릴 것입니다. 또한, 유출 사고의 재발을 방지하기 위한 구체적인 개선 권고 사항을 제시하고, 이행 여부를 지속적으로 점검할 계획입니다. 중대한 법규 위반이나 고의성이 발견될 경우에는 수사기관에 고발하는 등 형사처벌 절차도 검토될 수 있습니다. 개인정보위는 이번 사건을 계기로 금융 분야를 포함한 전 산업 분야의 개인정보 처리 시스템에 대한 점검을 강화하고, 기업들이 개인정보 보호 의무를 더욱 철저히 이행하도록 독려하는 정책을 지속적으로 추진할 것입니다. 조사 결과 및 최종 처분 내용은 국민들에게 투명하게 공개하여 알 권리를 보장하고, 유사 사고 예방을 위한 정보로 활용될 수 있도록 할 예정입니다.