이해민 의원 “방통위, 롯데카드 해킹 피해 키웠다”

롯데카드 개인정보 유출 사태를 두고 방송통신위원회의 늑장 입법이 피해를 키웠다는 비판이 제기됐다.

이해민 국회 과학기술정보방송통신위원회 의원(조국혁신당)은 1일 “국회가 연계정보와 주민등록번호를 분리해 관리하도록 법을 개정했지만 방통위가 후속 조치를 지연해 제도 공백이 발생했다”며 이같이 지적했다.

최근 롯데카드는 해킹으로 연계정보와 주민등록번호가 동시에 유출됐다. 롯데카드가 이를 별도 서버로 분리해 관리하지 않았던 사실도 드러났다. 연계정보(CI, Connecting Information)는 주민등록번호를 직접 사용하지 않고도 개인을 식별할 수 있도록 만든 비식별 정보다.

국회는 2023년 12월 정보통신망법 일부 개정안을 통과시켜 본인확인기관과 CI 이용기관이 주민등록번호와 CI를 반드시 분리 저장·관리하도록 의무를 부과했다. 해당 법은 2024년 7월부터 시행됐다.

하지만 방통위는 법 시행에 맞춘 후속 조치를 제때 마련하지 않았다. 시행령과 고시는 올해 5월 20일 제정됐고 연계정보 이용기관의 안전조치 일부 규정은 2027년 5월 1일부터 시행되도록 유예됐다. 이로 인해 약 3년 가까이 제도 공백이 생겼다.

방통위는 “2024년 7월부터 올해 1월까지 위원회 개최가 불가했고, 관련 소프트웨어 개발 등 사업자 준비기간을 고려해 2년 유예기간을 뒀다”고 해명했다. 그러나 핵심 개인정보 관리에 허점을 남겨 피해를 키웠다는 비판을 피하기 어렵게 됐다.

이해민 의원은 “법 시행이 2024년 7월부터였기 때문에 후속 입법은 그 이전에 준비됐어야 했다”며 “김홍일 전 방통위원장은 책임을 방기했고, 이진숙 방통위원장은 취임 후 의결이 가능했음에도 공영방송 이사 교체에만 몰두해 제도 공백을 방치했다”고 지적했다.

그는 이어 “그 결과 롯데카드 같은 기업은 법적 기준 부재를 이유로 보안 조치를 미뤘고 피해는 고스란히 국민에게 돌아갔다”고 강조했다.

9월 24일 과방위에서 열린 대규모 해킹사고(통신·금융) 청문회에서도 이 같은 논란이 불거졌다. 이해민 의원이 “연계정보와 주민등록번호를 분리해 관리하지 않은 것은 법 위반이 아니냐”고 묻자, 조좌진 롯데카드 대표는 “관련 시행령은 2027년 5월부터 시행되도록 돼 있다”며 책임을 피하는 답변을 내놨다.

이 의원은 “언제 또 같은 해킹 사고가 발생할지 알 수 없는 상황에서 방통위가 사실상 면죄부를 주면서 2027년 5월까지는 연계정보와 주민등록번호를 함께 보관해도 제재할 수 없게 됐다”며 “방통위가 고시 시행을 앞당길 수 있는 실질적 대책을 마련해야 한다”고 촉구했다.

김광연 기자
fun3503@chosunbiz.com