롯데카드 해킹 사고로 인한 개인정보 유출이 종전 파악된 규모보다 크다는 사실이 알려지면서 조좌진 대표는 또 한 번 대국민 앞에서 머리를 숙였다.

약 11년 전에도 발생한 사고보다 개인정보 유출 수위가 올라간 정황에 롯데카드는 깊이 반성하며 재발 방지 의지를 내비친 셈이다. 고객 보호를 위한 조치 계획도 빼놓지 않았다.

반면 최대주주인 MBK파트너스는 그 책임 소재를 추궁당할지만이 두려웠던 모양이다. 진정 어린 사과는커녕 보안 투자는 소홀히 한 적이 없단 입장으로 방어에만 급급한 모습이었다.

조좌진 대표 “심려 끼쳐 죄송”

롯데카드에 따르면 지난 7월 22일부터 8월 27일 사이 온라인 서버를 통한 결제 과정에서 생성·수집된 데이터가 유출됐다. 고객 이름은 빠져 있었으나 연계정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등 민감 정보들이 대거 포함됐다.

정보가 유출된 회원 규모는 총 297만명으로 전체 960만명 회원 중 30%에 해당한다. 피해 고객 중 10%에 달하는 28만명은 온라인 결제에서 주로 기입하게 되는 카드번호와 CVC번호까지 유출됐다. 이는 실제 온라인에서도 부정 사용에 활용될 가능성이 높은 정보다.

롯데카드는 지난달 31일 낮 12시경 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량인 데이터를 반출 시도했던 흔적을 발견해 다음 날인 이달 1일 금융당국에 보고했다. 하지만 지난 2일부터 금융감독원과 금융보안원이 실시한 현장조사 과정에서 200GB가 추가 반출된 정황이 발견됐다. 이후 지난 17일 일부 고객정보가 유출된 사실이 최종 확인됐다.

개인정보 유출 우려가 현실이 되면서 조 대표는 지난 4일 사과문을 발표한 데 이어 18일 다시금 공식 사과문을 냈다. 조 대표는 사과문에서 “대표이사로서의 무한한 책임을 느끼면서 이 자리에 섰다”며 고객과 유관기관을 상대로 “심려를 끼쳐드려 진심으로 죄송하다”고 했다.

롯데카드, 고객보호 및 보안 강화 안간힘 예고

롯데카드는 지난 2014년에도 개인정보 유출 사고가 있었다. 국민카드와 농협카드에서도 함께 발생했던 사고지만 이후 롯데카드 홀로 또 한 번 대형 사고가 터진 셈이기에 재발 방지가 미비했다는 비판은 나올 수밖에 없다.

이번 사고는 온라인 결제 요청 내역이 해킹된 건이라 고객 이름 정보는 새어 나가지 않은 것으로 파악됐다. 하지만 당시 사고에선 유출되지 않았던 수위 높은 개인정보인 카드 비밀번호와 CVC까지 해킹 피해가 발생했다는 점에서 심각성이 크다.

이를 의식하듯 조 대표는 유출된 정보를 통해 오프라인 결제는 복제 가능성이 거의 없으며 온라인 결제에서도 부정 사용이 어려운 수준이라고 말하면서도 강도 높은 고객 보호 조치 방안을 제시했다. 이번 침해 사고로 인한 피해에 대해선 어떠한 손실도 전가하지 않고 피해 전액을 보상한다는 방침이다.

이와 관련한 고객 보호 차원에서 롯데카드는 정보가 유출된 297만 고객 전원에 정보 유출 안내 메시지를 개별로 보냈다. 또한 부정 사용 가능성이 높은 고객 28만명에게는 재발급 안내 문자를 추가로 발송하고 안내 전화도 병행해 카드 재발급 조치를 최우선적으로 시행했다.

보안 강화에도 무게를 뒀다. 조 대표는 “롯데카드는 이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼고자 한다”며 “향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다”라고 말했다.

아울러 “이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제 체계를 강화하고 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화하겠다”며 “현재의 전사 IT 시스템 인프라를 정보보호 중심으로 전면적으로 개편하겠다”라고 조 대표는 언급했다.

MBK, 보안 투자 소홀 사실과 다르다?

롯데카드 해킹 사고에 따른 정보 유출 규모가 예상보다 커지면서 롯데카드 경영진은 미비점들을 사실상 인정하며 고객 보호 조치는 물론 보안 강화 계획을 발표했다. 반면 최대주주인 MBK파트너스는 당사를 향해 겨눠진 ‘보안 책임론’ 지적을 방어하는 데 초점을 둔 모습이다.

MBK파트너스 관계자는 더리브스 질의에 “롯데카드는 2020년 MBK 파트너스 등 새로운 주주들이 인수한 이후 지난 5년간 IT 분야에 약 1500억원을 투자했다”라며 “이 가운데 절반 수준이 보안 강화를 위한 투자이며 연평균 보안 투자 규모도 꾸준히 증가해 왔다”고 말했다.

그러면서 “사모펀드(PE)의 투자 목적은 인수한 기업의 가치를 제고하는 데 있으며 특히 금융업의 경우 보안 역량은 기업가치와 직결되는 핵심 요소”라며 “따라서 대주주가 보안 투자를 소홀히 할 이유는 전혀 없으며 실제 투자 추이 역시 이를 뒷받침하고 있다”고도 했다.

아울러 이 관계자는 “일각에서 제기되는 ‘보안 투자 소홀’ 주장은 사실과 다르며 롯데카드는 인수 이후 지속적으로 보안 인프라를 강화해 왔다”며 “앞으로도 고객 정보 보호와 금융 보안 수준 강화를 최우선 과제로 삼고 투자를 이어갈 계획”이라고 언급했다.

롯데카드가 지난 2022년부터 정보보호 예산을 꾸준히 늘려온 건 맞다. 자연재해와 전산오류로 해당 예산을 최대 수준으로 집행한 2021년 수준을 넘어서진 않으나 여느 카드사와 마찬가지로 보안 투자 규모를 확대해 왔다는 얘기다.

하지만 최근 5년간 자체 보안감사는 단 한 차례만 실시된 점, 정보보호 예산을 포함하는 IT 예산 자체도 늘려왔으나 보안 투자 비중은 2년 새 12%에서 8%로 줄어든 점, 보안 패치 업데이트를 누락시킨 게 이번 사고에서 결정적인 허점으로 지적되는 점 등을 보면 소홀했던 부분들이 드러난 게 사실이다.

그러함에도 MBK는 최대주주로서 최소한의 인정은커녕 보안을 잘해 왔다는 주장만 강조한 셈이다. 대국민 앞에 사과한 롯데카드 경영진 행보까지 무색하게 만든 대목이다. 롯데카드 이사를 겸임하는 MBK 김광일 부회장은 앞서 정보보호 관련 이사회에도 불참했다. 금감원에 따르면 지난 2월 28일 이사회에선 지난해 금융 분야 정보보호 상시 평가 결과가 보고됐으나 김 부회장은 일정이 있다는 이유로 참석하지 않았다.

한편 금융 소비자 피해 가능성이 높아짐에 따라 금융당국은 지난 18일 정부서울청사에서 관계기관과 전문가 등을 불러 모아 긴급 대책회의를 열고 당국 차원에서의 대응방안을 논의했다. 당국은 조사를 통해 확인된 보안 취약 사항을 보완하도록 하고 징벌적 과징금도 도입할 방침이다.

김은지 기자 leaves@tleaves.co.kr