해킹 당하고 17일 동안 몰랐던 롯데카드···잇단 금융권 보안 사고에 소비자 ‘불안’

롯데카드 해킹 사고 당하고 보름 지나 파악
금감원, 롯데카드 현장검사 착수
전문가들 “보안 투자하고 금융당국도 역할해야”

일러스트|NEWS IMAGE

최근 SGI서울보증보험, 롯데카드 등 개인정보를 취급하는 금융회사에서 해킹 사고가 잇따르자 금융소비자들의 불안감이 커지고 있다. 특히 롯데카드에선 해킹 사고 발생 사실을 보름 넘게 파악히지 못한 것으로 드러났다. 여전히 보안 투자를 ‘비용’으로만 여기는 기업들의 분위기를 개선하고 금융당국도 적극적 역할을 해야 한다는 지적이 나온다.

금융감독원은 2일 “해킹 사고가 발생한 롯데카드에 대한 현장검사에 착수했다”며 “고객정보 유출 여부 등 사실관계를 파악하고 있다”고 밝혔다.

국내 카드사 규모 6위인 롯데카드는 지난 1일 “전날 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도했던 흔적을 발견했다”며 금감원에 신고했다. 롯데카드 측은 이번 공격으로 1.7기가바이트(GB)의 데이터가 유출된 것으로 파악했다. 여기에는 ‘카드 정보’ 등 온라인 결제 요청 내역이 포함되어 있는 것으로 보인다고 금감원은 추정했다.

문제는 해킹 사고 발생 자체도 회사가 늦게 인지했다는 점이다. 국회 정무위원회 소속 강민국 국민의힘 의원실에 따르면 해커들의 공격으로 롯데카드 내부 파일이 최초로 유출된 시점은 지난달 14일이다. 롯데카드가 해킹 사실을 인지하고 금융당국에 신고한 시점과 17일간의 차이가 난다. 롯데카드는 “8월14일에 발생한 해킹 사고를 31일에 인지한 것”이라고 설명했다. 2주 이상 해킹 사실조차 몰랐던 롯데카드의 허술한 보안 관리가 도마 위에 오를 수밖에 없다.

롯데카드 이용자들의 불안과 분노가 터져 나오고 있다. 개인 정보 유출에 따른 피해를 우려한 고객 일부가 개설한 온라인 카페에는 하루도 안 돼 240명 넘는 회원이 가입했다.

이찬진 금융감독원장은 이날 임원회의에서 “롯데카드 침해사고로 금융시장에 대한 소비자의 불안과 불신이 증폭될 수 있다”며 “혹시 모를 부정 사용 발생 시 피해액 전액을 보상하는 절차를 마련하라”고 지시했다.

올해 금융권에서 발생한 해킹 사고는 롯데카드가 처음이 아니다. 불과 보름 전엔 웰컴금융그룹 계열사인 웰릭스에프앤아이대부에서 랜섬웨어 공격에 당해 내부 자료가 유출된 사실이 알려졌다. 지난 7월에는 랜섬웨어 공격을 받은 SGI서울보증의 전산망이 마비되는 사태가 벌어졌으며 지난 4월에도 법인보험대리점(GA) 2곳이 해킹을 당해 고객 개인정보 등이 유출됐다.

사고가 끊이지 않자 전문가들은 금융회사와 금융당국 모두 보안 역량을 높여야 한다고 지적했다.

이경호 랜섬웨어침해대응센터 수석연구원은 “보안의 경우 비용이 높아지는 부분은 있지만, 금융사들이 자체 보안 감사 체계를 더 강화해야 한다”고 말했다. 이성엽 고려대 기술경영전문대학원 교수는 교수는 “금융당국이 새로운 사고 유형들을 즉각 공유하고 보안에 투자할 수 있는 환경을 만들면서 기업들의 보안 역량을 끌어올려야 한다”고 지적했다.

금융당국 관계자는 “단기적으로는 모의 해킹 등을 통해 금융권 보안 취약성을 점검하겠다”며 “징벌적 과징금을 부과하고 CISO의 권한을 강화할 수 있도록 법제화도 신속하게 준비하겠다”고 말했다.

배재흥 기자 heung@kyunghyang.com