롯데카드, 11년전에도 대규모 유출…권대영 “안이한 태도 돌아봐야”

━
롯데카드·KT ‘연쇄 해킹’ 파장

19일 롯데카드 본사에 고객 개인정보 유출 해킹 사건 상담소가 마련돼 있다. [연합뉴스]

금융위원회가 징벌적 과징금 제도를 도입하기로 했지만, 롯데카드의 부실 대응과 금융당국의 늑장 대처를 두고 비판의 목소리가 커지고 있다.

권대영 금융위 부위원장은 19일 정부서울청사에서 열린 과학기술정보통신부와의 합동 브리핑에서 “보안 투자를 불필요한 비용으로 치부하는 안이한 태도가 금융권에 있지 않았는지 냉정히 돌아봐야 할 시점”이라며 “국민이 금융회사를 신뢰할 수 있도록 보안 실태에 대한 밀도 높은 점검과 함께 재발 방지를 위한 근본적인 제도 개선에 즉시 착수하겠다”고 말했다.

이번 해킹 사고로 롯데카드에서 유출된 고객정보는 약 297만 명분에 이른다. 960만 명 회원의 약 3분의 1 수준이다. 롯데카드가 지난 2017년 서버에 설치해야 하는 48개 보안패치 중 하나를 누락한 것이 원인으로 지목된다. 롯데카드는 지난 2014년 고객의 대규모 정보 유출로 큰 물의를 일으킨 카드 3사 중 한 곳이다. 또다시 해킹 사태가 발생하면서 롯데카드의 책임이 크다는 여론이 높다. 현재 롯데카드의 최대주주는 사모펀드인 MBK파트너스로, 수익성에 치중하면서 정보 보안 투자가 미흡했다는 지적도 나온다.

금융위는 최고경영자(CEO) 책임으로 전산시스템과 정보보호 체계를 신속하게 점검하고, 금융감독원·금융보안원 등을 통해 점검 결과를 면밀히 감독하겠다고 밝혔다. 기업 내 정보보호 최고책임자(CISO)가 예산을 적정하게 편성할 수 있게 권한을 키우고, 소비자를 위한 공시 수준을 높이는 등의 대책도 마련하기로 했다. 사고 발생 시 피해자 구제 절차를 의무화하는 방안도 검토된다. 권 부위원장은 “(2014년 카드 정보 대규모 유출 이후) 지난 10년간 큰 사고가 없었기 때문에 보안 예산과 인력 확보를 자율에 맡겼지만 소홀했던 측면이 있다”며 “망 분리 등 디지털화가 빨라지면서 취약점이 늘어난 측면이 있어, (보안 관련) 조직·인력을 CEO 관리하에 배치하는 방안을 검토 중”이라고 덧붙였다.

늑장 대응 논란에 대해 권 부위원장은 “유출 정보만으로는 부정 사용의 가능성이 없다는 것이 저희의 판단이었다”며 “정확한 포렌식 결과를 통해 (위험군별로) 분류해 안내하고 있다”고 설명했다.

한편 이번 사건에 대해 경찰이 수사에 착수했다. 이날 경찰에 따르면 경찰청 국가수사본부 사이버테러수사대는 관련 언론 보도 및 롯데카드 발표 등을 토대로 사건을 인지해 입건 전 조사(내사)를 진행하고 있다. 경찰 관계자는 “이달 초쯤 언론 보도를 통해 롯데카드 해킹 피해 사실이 알려지면서 사건을 인지해 수사 중”이라고 설명했다.

박유미·나운채 기자 park.yumi@joongang.co.kr