롯데카드에서 297만명의 개인정보 유출 사태가 발생하자 시민사회에서 비판의 목소리가 확산되고 있다. 민주사회를 위한 변호사모임 디지털정보위원회(이하 민변)는 고객 개인정보를 헌법상 기본권의 영역이라고 지적하며 원인 규명과 재발방지 대책 마련을 촉구하고 있다.
민변은 19일 "롯데카드사 고객 297만명의 개인정보가 외부 해킹 공격으로 유출됐다"면서 "SKT사의 막대한 유심정보 유출 사태가 발생한지 5개월이 채 안 된 시점에서 또 다시 기업에서 대량의 개인정보가 유출된 것이다. 고객의 개인정보를 보호하지 못한 롯데카드사를 강력히 규탄하며, 근본적인 대책과 재발방지 마련을 요구한다"고 밝혔다.
민변은 "롯데카드사는 개인정보 유출 사고에 대해 '일부 항목만 제한적으로 유출된 269만명에 대해서는 해당 정보만으로 카드 부정사용이 발생할 가능성은 없다'고 밝혔다"며 "개인정보는 유출됐지만 부정사용 가능성은 없으니 이번 사태로 인한 고객들의 피해가 전무하다는 의미"라고 말했다.
민변은 "그러나 롯데카드사는 고객들의 개인정보를 보호하지 못한 것만으로도 개인정보보호법 제29조 안전조치의무를 위반한 것이며, 고객들의 헌법상 개인정보자기결정권을 심각하게 침해한 것"이라면서 "특히 이번 사태에서 유출된 269만개의 주민등록번호와 연계정보(CI)는 개인정보보호법상 특히 보호받아야 하는 고유식별정보에 해당, 정보 유출로서 야기되는 정보주체에 대한 권리 침해는 매우 중대하다"고 지적했다.
민변은 "더욱 심각한 것은 28만명이라는 수많은 고객의 CVC정보, 카드번호와 유효기간이 유출된 것인데 정보를 습득한 자는 누구든지 카드를 부정사용할 가능성이 있다"며 "그럼에도 롯데카드사는 정보가 유출된 고객들에게 '회원님의 유출 정보가 부정사용으로 이어질 가능성은 낮다. 카드 재발급은 필요하지 않으며, 카드 비밀번호 변경과 해외결제차단 설정을 권장드린다'는 성의 없는 내용의 공지만 안내했다"고 비판했다.
민변은 "개인정보처리자로서 개인정보보호법 제34조에 규정돼 있는 피해 최소화 대책 마련 의무가 있음에도 오히려 미봉책으로 고객들을 기만하고 있는 것"이라면서 "고객의 개인정보는 기업의 자산이 아니라 헌법상 보장되는 기본권의 영역"이라고 강조했다.
이에 민변은 △개인정보 유출 사태의 경위 공개 △독립 조사로 책임 소재 규명 △개인정보 관리체계 전면 검토·수정과 재발방지 대책 마련 △개인정보자기결정권 침해 정보주체 대상 사과와 보상안 제시 △피해 규모 조사와 롯데카드사에 책임 추궁 등을 촉구했다.
민변은 "롯데카드사는 유출 사태의 경위를 투명하게 공개하고, 독립적인 조사를 통해 책임 소재를 명확히 밝히라"며 "개인정보 관리체계를 전면적으로 검토하고 수정, 재발방지 대책을 마련하라"고 밝혔다.
민변은 "개인정보자기결정권을 침해당한 정보주체들에게 진심 어린 사과와 근본적인 보상안을 제시하라"면서 "개인정보보호위원회 등 유관 당국은 피해 규모를 낱낱이 조사, 롯데카드사에 응당한 책임을 물라"고 말했다.
