“연계정보 안전조치 3년 유예”…방통위, 롯데카드 해킹 파장 키웠다

연계정보(CI·Connecting Information) 관리 안전조치 법 개정 이후에도 후속 입법 지연으로 정보 유출 피해가 커지고 있다. 국내 주요 신용카드사인 롯데카드에서 CI와 주민등록번호가 동시에 해킹된 사건이 공개되며, 개인정보 보호 체계의 허점과 제도적 대응 지체 문제가 다시 부각됐다. 업계와 국회는 이번 사태를 정보보호 정책의 ‘실효성 검증’ 분기점으로 보고 있다.

문제는 지난해 7월 시행된 정보통신망법 개정에도 불구하고 시행령·고시가 1년 가까이 늦어졌으며, 특히 CI 이용기관에 대한 일부 안전조치는 2027년 5월 1일까지 유예된다. 이는 CI와 주민등록번호 분리 보관 의무화가 현실적으로 3년 가까이 미뤄지는 결과로, 해킹 등 정보보안 사고 위험도 장기화될 수 있다는 우려가 나온다. CI는 주민번호를 직접 쓰지 않고 금융·쇼핑 등 온·오프라인 서비스에서 개인을 식별하는 용도이나, 주민번호와 결합하면 사실상 고유 신원정보로 기능한다는 점에서 관리 강화를 요구받아 왔다.

국회와 개인정보보호업계는 이번 롯데카드 사례처럼 두 정보가 한 시스템에 보관될 때 단 한 번의 침해로 모두 탈취될 수 있다는 점을 지적한다. 분리 저장·관리 기술은 DB 및 서버를 이원화해 접근 권한을 최소화하도록 설계되며, 글로벌 금융기관이나 빅테크 기업도 유사한 격리·암호화 대책을 이미 도입 중이다. 이에 비해 국내 시행령상 실질적 제재권 및 신속 실행은 미흡하다는 평가다.

방통위는 사업자 소프트웨어 개발 준비와 위원회 운영 일정상 불가피성을 이유로 들었지만, 실제로 데이터 보호 및 활용 규제의 공백 기간이 길어질수록 소비자·이용자 피해가 누적될 수 있다는 비판이 뒤따른다. 미국이나 EU의 경우 대규모 개인정보 침해 사고 이후 분리 보관·실시간 위협 탐지 법제화를 빠르게 이행하고 있는 점과 대조된다.

전문가들은 “개정 법률과 기술적 여건이 따라가지 못하면 제도 취지가 퇴색된다”며 “정보 비식별화 원칙이 실제 산업 현장에서 지켜질 수 있게 보완 입법·정책 집행을 앞당겨야 한다”고 강조했다. 산업계는 이번 기술적·법적 공백이 정보보호 시장 재편과 신뢰도 회복의 갈림길이 될지 주목하고 있다.