롯데카드 해킹 사태 왜? MBK 인수 초기보다 준 보안 투자 지적

2021년 137억원→2022년 88억원
올해 투자 128억원 초기보다 적어
롯데카드 재해복구 이례적 비용 입장
정보보호 전체 투자 규모 유지 못한 점 지적

조좌진(왼쪽 다섯 번째) 롯데카드 대표이사가 18일 오후 서울 중구 부영태평빌딩에서 열린 기자회견에서 롯데카드 대규모 해킹 사고와 관련해 임원들과 함께 대국민 사과를 하고 있다. 롯데카드는 약 960만 명의 회원을 보유한 업계 5위권 카드회사이며 최근 해킹 공격 피해 조사 결과 297만 명의 회원 정보가 유출된 것으로 알려졌다. 임세준 기자

[헤럴드경제=유혜림·정호원 기자] 롯데카드 해킹 피해 규모가 300만명에 이른 데에는 MBK 인수 초기 보안 투자 규모 대비 후퇴한 정보보호 예방 조치가 최대 원인으로 꼽힌다. 해킹이 이뤄진 지 보름이 넘도록 피해 사실조차 제대로 파악되지 못한 데다 애초 신고한 유출 규모보다 100배 수준의 데이터가 유출된 점에 롯데카드가 해킹 사태에 기민하게 대응하지 못했다는 지적이 제기된다.

▶“보안 투자 3년 전보다 15%↓”=이번 해킹 피해 원인으로 정보보호에 대한 기업의 투자 부족과 허술한 시스템이 지목된다. 일각에선 롯데카드의 최대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하면서 보안 투자를 소홀히 했다는 지적이 제기된다. 금감원에 따르면 지난해 롯데카드가 네트워크 보안을 위해 지출한 정보 보호 투자액은 116억9000만원으로 3년 전인 2021년에 비해 14.7% 감소했다.

특히 2019년 10월 MBK 파트너스가 롯데카드를 인수한 뒤 2021년 137억원의 보안 투자를 집행했지만 2022년 88억원으로 뚝 떨어졌다. 롯데카드는 2021년 당시 재해복구시스템 구축에 이례적으로 투자 규모가 많았다는 입장이지만 정보보호 전체 투자 규모를 최소한으로 유지는 했어야 한다는 지적이다.

재해복구는 시스템이나 서비스가 일시적으로 중단됐을 때 이를 신속하게 정상 상태로 복구하는 기본적인 작업이다. 롯데카드가 정상으로 회복하기 위해 집행한 비용을 감안해도 이를 유지하기 위해서는 전체 보안 투자 규모를 줄여서는 안됐다는 지적이 나오는 이유다.

롯데카드는 이후 2023년(114억원), 2024년(116억원), 2025년(128억원) 순으로 정보보호 관련 투자를 확대했지만 올해 역시 2021년보다 적은 규모이다.

롯데카드는 향후 5년간 1100억원 상당의 정보보호 관련 투자를 집행해 정보보호 예산 비중을 업계 최고수준인 15%까지 확대하겠다고 약속했다.

롯데카드는 이번 개인정보 유출 사고를 계기로 보안 관리 체계를 전면 재점검할 방침이다. 네트워크 구간에 ASM(애플리케이션 보안 관리) 서비스를 도입해 취약점을 선제적으로 탐지·차단하고, 웹 방화벽 등 기존 보안 장비를 전면 재점검해 탐지·차단 역량을 강화할 계획이다. 전담 레드팀을 신설해 해커의 침입을 가장한 예방 활동을 상시화하며 전사 IT시스템 인프라를 정보보호 중심으로 전면 개편하겠다고 했다.

▶“피해 규모 파악 조차 미흡”=조좌진 대표는 전날 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 이같이 밝히며 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”고 고개를 숙였다. 롯데카드가 고객 정보 유출 피해를 인지한 지난달 31일 이후 18일 만이다. 조 대표는 “2차 피해도 연관성이 확인되면 전액 보상하겠다”고 했다. 이 밖에도 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다.

이번 해킹 사건을 두고 초기 대응이 미흡했다는 지적이 많다. 앞서 롯데카드는 지난 1일 해킹 공격을 당해 1.7GB 규모의 데이터가 유출됐다고 금융당국에 신고했다. 하지만 조사 결과 200GB 분량의 데이터가 추가 반출된 정황이 확인됐다. 이 중 28만 명은 카드 결제의 핵심정보인 CVC(카드 뒷면 숫자 3자리)까지 유출돼 부정 결제 피해를 입을 가능성이 있는 것으로 확인됐다.

롯데카드는 실제 파악된 규모보다 적게 신고한 이유에 대해 해킹이 워낙 조금씩 여러 번에 걸쳐 교묘하게 진행됐기 때문이라고 설명한다. 또 해커는 2017년 롯데카드가 48개 서버의 보안을 강화하는 과정에서 보강 작업을 누락한 1개를 공략한 것으로 알려졌다. 조 대표는 “처음에 1.7GB 서버 파일을 압축해서 들고 나간 흔적을 발견했는데 파일들을 교묘하게 지워 어떤 정보가 나갔는지 확인할 수 없었다”며 “200GB 데이터를 짧게 잘라 4700개 정도로 가져간 것으로 파악했다”고 설명했다.

사실 업계에선 초기 신고 규모를 놓고도 심상치 않다는 우려가 컸다고 한다. 한 카드업계 관계자는 “사실 처음 밝힌 1.7GB 규모도 결코 적지 않은 수치였다”면서 “개인정보 항목 칼럼을 어디 수준까지 나누는지에 따라 유출 범위가 달라지겠지만 이번 해킹 사태가 터지면서 내부적으로도 파악해본 결과 최소 100만명이 넘는 이름, 주민등록번호와 같은 기본적인 정보는 다 담길 정도라 우려가 컸다”고 분위기를 전했다.

롯데카드는 실제 신용카드 부정수급 가능성이 있는 고객은 28만명이라는 점을 강조했지만 그간 각종 해킹사태로 개인정보가 거래된 상황을 고려하면 2차피해는 예상보다 더 커질 수 있다. 한 금융사 보안 관계자는 “해커들도 확보한 자료로 바로 시장에 내놓지 않는다. 1~2년 정도 시간차를 두고 판매하기 때문에 피해자 입장에서 어디서 유출됐는지 입증하기 어려울 수밖에 없는 구조”라고 지적했다.

▶개인정보유출 집단소송 움직임도=업계에선 이번 해킹 사태이 피해자들의 법적 대응으로 번질지 촉각을 곤두세우고 있다. 이미 ‘롯데카드 개인정보유출 집단소송 카페’가 개설됐으며 오전 11시30분 기준 현재 회원 수는 1326명이다. 앞서 11년 전인 2014년 1억건이 넘는 개인정보 유출 사건이 발생한 신용카드 대규모 해킹 사고에서 피해를 본 카드사 회원들은 소송을 통해 배상금 10만원씩을 받아낸 바 있다. 당시 개인정보 일부는 대출중개업체 등에 넘어가 영업에 활용되기도 했다.

진수일 변호사는 “이미 롯데카드 개인정보 유출 집단소송 카페가 개설되는 등 적극적으로 권리 구제를 요청하는 개인들이 많아 소송 움직임으로 이어질 것으로 보인다”고 했다. 다만 집단 소송은 1~2년 넘게 소요되고 배상액도 약 10만원 수준에 그치다 보니 소송 참여율이 낮을 수 있다는 전망도 나온다. 또 과거 사례와 달리 이번 해킹 사건의 경우, 아직 구체적인 피해 사실이 확인되지 않은 만큼 소송이 성립하기 어렵다는 시각도 있다.

조좌진 롯데카드 대표이사가 18일 오후 서울 중구 부영태평빌딩에서 롯데카드 대규모 해킹 사고와 관련해 열린 기자회견에 참석하고 있다. 롯데카드는 약 960만 명의 회원을 보유한 업계 5위권 카드회사이며 최근 해킹 공격 피해 조사 결과 297만 명의 회원 정보가 유출된 것으로 알려졌다. 임세준 기자

한편, 금융당국은 피해 가능성은 극히 낮지만 기술적 위험은 인정하면서 사전·사후 보안 대응 체계를 강화하겠다고 했다. 권대영 금융위 부위원장은 CVC 등 유출된 정보를 활용한 부정수급 우려에 대해 “현재까지는 복제 등 실제 피해 가능성은 0%에 가깝게 아주 낮은 수준이지만 (실물카드 없이도 결제 시도가 이뤄질) 기술 가능성은 열려 있다”면서 위험도가 높은 고객은 카드 재발급 등 필요 조치를 취하고 있다고 했다. 또 FDS(이상거래탐지시스템) 운영을 통해 해외 결제 발생 시 직접 전화를 걸어 국내 여부를 확인하는 식으로 추가 인증 절차를 가동하겠다고 했다.