[이데일리 김현아 기자] 롯데카드 해킹으로 대규모 개인정보 유출 사태가 발생한 가운데, 방통위원회의 늑장 대응이 피해를 키웠다는 지적이 국회에서 나왔다.

국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 “연계정보(CI)와 주민등록번호를 분리해 관리하도록 하는 법 개정이 이뤄졌음에도 방통위가 후속 입법을 1년 넘게 방치하면서 제도 공백이 발생했고, 결국 롯데카드 사태 같은 피해를 초래했다”고 비판했다.

이해민 의원(조국혁신당)

<이미지를 클릭하시면 크게 보실 수 있습니다>

법은 2024년 7월부터 시행됐지만… 후속 조치는 ‘지연’

연계정보(CI, Connecting Information)는 주민등록번호를 직접 쓰지 않고도 개인을 식별할 수 있도록 설계된 비식별 정보다.

국회는 2023년 12월 ‘정보통신망법 일부개정안’을 통과시켜 본인확인기관과 CI 이용기관이 주민등록번호와 CI를 반드시 분리 저장·관리하도록 의무화했고, 법은 2024년 7월부터 시행됐다.

그러나 방통위는 법 시행에 맞춰 필요한 시행령·고시를 마련하지 않았다. 후속 입법은 2025년 5월 20일에서야 제정됐으며, 그마저도 일부 안전조치 규정은 2027년 5월 1일부터 적용되도록 유예했다. 이로써 사실상 약 3년간의 제도 공백이 생겼다.

방통위는 “위원회 개최 불가 상황(2024년 7월~2025년 1월)과 사업자 준비기간을 고려해 유예기간을 뒀다”고 해명했지만, 핵심 개인정보 관리에 허점을 남겼다는 비판은 피하기 어렵다.

“공백 탓에 기업들 보안조치 미뤄… 피해는 국민 몫”

이해민 의원은 “후속 입법은 법 시행 이전부터 준비됐어야 했다”며 김홍일 전 방통위원장과 이진숙 현 위원장의 책임을 지적했다.

그는 “방통위가 공영방송 이사 교체에만 몰두한 탓에 3년간 CI·주민번호 분리조치가 사실상 무력화됐다”며 “기업들은 법적 기준이 없는 상황을 이유로 보안을 뒤로 미뤘고, 피해는 국민에게 돌아갔다”고 꼬집었다.

실제 지난 24일 열린 과방위 대규모 해킹사고 청문회에서 이 의원이 “연계정보와 주민등록번호를 함께 보관한 것은 법 위반 아니냐”고 추궁하자, 롯데카드 조좌진 대표는 “관련 시행령은 2027년 5월부터 시행된다”고 답하며 책임을 회피했다.

“2027년까지 제재 불가… 방통위, 시행 앞당겨야”

이 의원은 “현 상황대로라면 2027년 5월까지는 기업이 CI와 주민번호를 한 서버에 보관해도 제재할 수 없다”며 “방통위가 사실상 면죄부를 준 것”이라고 비판했다.

이어 “언제 또 롯데카드 같은 해킹이 발생할지 모른다”며 “방통위는 고시 시행을 앞당길 수 있는 실질적 대책을 마련해야 한다”고 촉구했다.