롯데카드가 최근 발생한 사이버 침해사고와 관련해 공식적으로 사과했다. 조좌진 롯데카드 대표이사는 4일 입장문에서 '대표이사로서 무거운 책임을 통감하며 머리 숙여 깊이 사과드린다'며 '이번 사태의 모든 책임은 저와 롯데카드에 있다'고 밝혔다.

롯데카드는 지난달 26일 온라인 결제 서버에 외부 해커가 침투한 흔적을 포착했다. 이후 전사적 비상대응 체계를 가동했고 금융당국과 외부 보안전문기관과 함께 정밀조사를 벌이고 있다.

현재까지 치명적인 정보유출 정황은 확인되지 않았지만, 롯데카드는 고객의 불안을 해소하기 위해 의심 거래를 실시간으로 모니터링하고 고객센터를 24시간 운영 체제로 전환했다. 아울러 이 시기 서버를 통해 온라인 결제를 이용한 고객에게는 선제적으로 카드를 재발급할 계획이다.

이번 사건은 금융권의 보안 이슈를 다시 부각시키는 계기가 되고 있다. 해커가 직접적으로 오라클 웹로직의 취약점(CVE-2017-10271)을 악용해 악성코드를 감염시킨 것으로 알려졌기 때문이다. 오라클이 2017년 이 같은 문제를 발견해 이미 패치를 배포한 만큼 롯데카드의 보안정책에 문제가 있었던 게 아니냐는 지적이 제기된다.

더욱 큰 문제는 카드사뿐 아니라 금융권 전반에 보안 리스크가 퍼져 있다는 점이다. 2014년 롯데·KB국민·NH농협카드 3곳의 개인정보 유출사건은 업계에 큰 충격을 줬다. 이후에도 은행과 증권사, 카드사를 노린 크고 작은 해킹 시도가 이어져 최근에는 SGI서울보증보험, 웰컴저축은행 등에서 피해가 발생했다.

금융당국은 정보보호관리체계(ISMS) 강화, 보안 투자 확대, 전문인력 확충 등을 지속적으로 요구하고 있지만 현장에서는 보안 투자가 우선순위에서 밀리는 경우가 적지 않다.

롯데카드의 '2024 지속가능경영보고서'에 따르면 전체 정보기술(IT) 예산에서 정보보호 투자 비중은 2021년 12%, 2022년 10%, 2023년 8%로 감소했다. 금융권 전체로 봐도 이러한 흐름은 마찬가지다. 2023년 금융회사의 IT 관련 예산은 총 9조4412억원으로 이 가운데 정보보호 예산이 9103억원으로 9.6%를 차지했다.

반면 해외 기업들의 정보보호 투자 비중은 상대적으로 높다. 미국 보안컨설팅 기관인 IANS리서치에 따르면 미국 기업들은 전체 IT 예산 가운데 13.2%를 보안에 사용한다.

조 대표는 "혹시라도 피해가 발생한다면 롯데카드가 책임지고 전액 보상하겠다"며 "이번 사건을 계기로 다시는 이러한 일이 발생하지 않도록 모든 책임을 다해 회사의 변화를 이끌어나가겠다"고 강조했다.

김홍준 기자