금감원장 ‘소비자보호’ 주문 직후 롯데카드 해킹…디지털·중소금융본부 비상체계 가동

중소금융검사3국·IT검사국, 롯데카드 현장검사
'비상대응체계'에 중소, IT 감독·검사국 참여할듯
검사서 피해액·개인정보 유출 사실나올지 관건
업계 "롯데카드만의 문제 아냐…全금융권 경고"

금융감독원과 금융보안원이 롯데카드 해킹 사고와 관련해 현장검사를 진행 중이다. 금감원은 디지털·정보기술(IT) 본부와 중소금융 본부 내 감독, 검사 부서가 주축이 된 비상대응체계를 가동해 외부 해킹 시도 등에 관한 철저한 내부통제 관리에 들어가기로 했다. 검사에서 피해액이 발생하거나 소비자 결제정보 및 개인정보가 유출되는 등 새로운 사실이 발견되면 전액 배상과 함께 강력한 제재가 부과될 수 있어 금융권 전체가 긴장하고 있다.

이찬진 금융감독원장이 1일 서울 종로구 생명보험교육문화센터에서 열린 '금융감독원장-보험회사 CEO 간담회'에 참석해 모두발언 하고 있다. 2025.9.1 강진형 기자

2일 이찬진 금융감독원장은 본부 임원(원장·부원장·부원장보) 15명이 참석하는 임원회의에서 "현장검사를 통해 사고 원인 및 피해 규모 등을 철저히 점검할 것"이라며 "금감원 내 비상대응체계를 가동해 유기적으로 대응하라"라고 지시했다.

현장검사에는 금감원 중소금융검사3국·IT검사국 소속 직원 5명이 투입됐다. 금융보안원 인원까지 포함하면 총 10명 안팎이 현장에서 조사 중이다.

금감원 현장검사에서 피해액 발생, 소비자 결제·개인정보 유출 사실이 새롭게 적발되는지가 관심사다. 롯데카드에 따르면 피해액과 개인정보 유출 사실은 확인되지 않았다. 롯데카드는 "지난달 26일 서버 점검 중 악성코드 감염 사실 확인 후 조사한 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견했으나 즉시 삭제했다"고 밝혔다. 지난달 31일 오후 12시까지도 외부 공격자의 온라인 결제 서버 공격 흔적만 발견했을 뿐 피해액, 개인정보 유출 사실은 드러나지 않았다.

해킹 등 카드 부정사용으로 피해액이 발생하면 여신전문금융업법과 약관 등에 따라 롯데카드는 피해액을 전액 배상해야 한다. 특히 개인정보 유출 건이 적발되면 문제가 심각해진다. 롯데카드를 비롯한 여신업계에 따르면 개인정보 유출 사실이 확인되는 즉시 해당 고객에게 안내한 뒤 유출 내역을 조율할 수 있는 시스템을 만들어 금융감독당국과 개인정보보호위원회에 보고해야 한다. 지난해 11월 개정된 신용정보법 개정안 42조를 보면 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

정치권에서는 롯데카드가 내부파일 유출 시도 사실을 알고도 늑장 신고했거나 금감원 역량이 부족해 늦게 파악한 것 아니냐는 비판도 나온다. 국회 정무위원회 야당 간사인 강민국 국민의힘 의원실은 롯데카드가 금감원에 보고한 시점은 지난달 31일 12시지만, 실제 해킹에 따른 내부파일 유출은 지난달 14일 오후 7시21분 발생했다고 주장하는 내용의 보도자료를 냈다. 지난달 14~16일 사흘간 외부 유출 시도가 롯데카드 내에서 있었고, 2회 유출됐다고 주장했다.

금감원은 의원실에 "반출된 파일에 포함돼 있는 정보의 구체적 내용은 파악 중이지만 반출 실패한 파일을 바탕으로 추정할 때 '카드 정보 등 온라인 결제 요청 내역'이 포함된 것으로 보인다"고 보고했다. 롯데카드도 금감원에 내부파일 유출 향후 대책으로 "유출 가능 고객 정보 확인 후 해당 고객에게 카드 비밀번호 변경 등 안내 예정"이라고 했다. 유출된 내부 파일에 고객 정보가 있을 수 있다는 의미다.

현장검사 결과와 별개로 금감원이 내부 비상대응체계를 꾸린다는 소식에도 이목이 쏠린다. 복수의 금감원 관계자에 따르면 비상대응체계 조직에는 현장검사에 투입된 중소금융검사3국·IT검사국은 물론 중소금융감독국, 디지털금융총괄국까지 포함될 수 있다. 구체적으로 어느 국 직원 몇 명으로 구성될지는 아직 정해지지 않은 것으로 전해졌다.

금감원 관계자는 "현장검사에 투입된 검사국은 물론 해당 본부의 감독국까지는 들어갈 것으로 예상한다"고 말했다.

한편 금융권은 롯데카드 현장검사와 이날 금감원 임원회의 당부사항을 접한 뒤 금감원이 롯데카드와 여신업계를 넘어 전 금융권에 내부통제를 강화하라는 경고장을 날린 것으로 해석한다.

이 원장은 임원회의에서 "금융회사 최고경영자(CEO) 책임 아래 소비자보호 관점에서 자체 금융보안 관리체계를 전면 재점검하라"라며 "관리 소홀로 인한 금융보안 사고에 대해 엄정 제재할 것"이라고 강조했다.

한 여신업계 관계자는 "롯데카드 하나만의 단순한 금융사고 규율을 넘어 전반적인 금융사 전체에 대한 경고 메시지로 받아들이고 있다"며 "이 원장이 전금융권에 '소비자보호'를 최우선시하라고 강조하는 와중 금융사에서 보안 사고가 잇따르고 있어 관련 모니터링을 강화하고 감독당국 방침에 대해 주시하고 있다"고 전했다.

문채석 기자 chaeso@asiae.co.kr