![[그래픽=황민우 기자]](https://cdn.tleaves.co.kr/news/photo/202509/8088_14791_3142.jpg)
롯데카드가 범죄에 고객 정보가 노출될 수 있는 가능성을 야기하는 사이버 침해 사고로 업계 이목을 끌었다. 롯데카드 가입 고객은 약 960만명 규모로 사실상 대형 사고다.
업계에 남 일은 아니다. 정보보호 예산 규모를 일정하게 유지하며 보안에 신경을 쓰고 있더라도 한 번의 해킹 사고로 당국 조사를 받게 되면 허점이 드러날 수밖에 없기 때문이다.
대통령까지 나서 보안 사고가 반복될 시 징벌적 과징금을 묻겠다고까지 한 상황은 큰 부담이다. 카드사는 고객 개인정보를 광범위하게 관리하는 만큼 사고 예방 노력이 보다 요구된다.
롯데카드 유출사고 전말
롯데카드는 지난달 26일 서버 점검 중 특정 서버에서 악성코드 감염 사실을 확인해 전체 서버에 대한 정밀조사에 나섰다.
전체 서버 점검 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견한 롯데카드는 이를 즉시 삭제 조치했다. 추가적인 침해나 정보 유출 등 여러 가능성에 대해서도 자체 조사를 진행했다.
그 결과 같은 달 31일 오후 12시경 롯데카드는 그달 12-14일경 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도했던 흔적을 발견했다. 이에 외부 조사업체를 통해 정밀 조사를 진행했으나 고객 정보 등 주요 정보의 외부 유출이나 랜섬웨어와 같은 심각한 악성코드 감염은 확인되지 않았다는 게 롯데카드의 설명이다.
롯데카드 조좌진 대표는 지난 4일 공식 사과문을 냈다. 조 대표는 사과문을 통해 이번 사태가 회사 보안 관리가 미흡했던 데서 비롯된 것이며 그에 따른 모든 책임은 본인과 롯데카드에 있다고 전했다. 또한 피해 예방을 위해 전사적 비상대응체계를 가동하며 이번 침해 사고와 관련한 피해에 대해선 책임지고 전액을 보상하겠다는 방침도 내놨다.
정보보호 예산 비중 올해 다시 올라
![롯데카드 연도별 정보보호 예산 집행 비중. [그래픽=황민우 기자]](https://cdn.tleaves.co.kr/news/photo/202509/8088_14792_3933.jpg)
금융당국은 지난 1일 롯데카드로부터 사고 사실을 신고받아 금융보안원과 현장 조사를 진행 중이다. 고객 정보 유출에 따른 피해가 정말 없는지 확인하는 차원에서다.
이번 사고에 따라 롯데카드 가입 고객 960만명을 상대로 잠재적인 범죄가 야기될 가능성이 생기면서 사측이 정보보안을 위해 물리적으로 얼마나 노력을 해왔는지에 관심이 집중됐다. 정보보호 투자 예산이 충분히 투입돼왔는지 혹은 그 예산이 줄어들지는 않았는지 등이다.
롯데카드에 따르면 2022년부터 지난해까지 정보 기술과 관련해 집행된 예산이 증가한 데 비례해 정보보호 예산 자체가 꾸준히 늘었다. 정보보호 예산 비중은 지난 2022년 9.5%에서 2023년 10.69%로 늘었다가 9.72%로 줄었으나 올해 정보기술 예산을 1246억8000만원, 정보보호 예산을 128억1000억원으로 모두 늘리면서 비중도 10.27%로 다시 늘어날 예정이다.
다만 지난 2021년 정보보호 예산이 137억원인 점을 감안하면 최근 예산 수준은 이에 못 미친 다. 지난해 기준 예산은 116억원으로 2021년에 비하면 약 15% 줄었다. 정보보호 예산이 이전보다 줄어든 점 역시 보안 허점이 드러난데 영향을 미쳤을 거라는 지적이 나오는 대목이다.
업계 반면교사된 롯데카드
롯데카드는 2021년의 경우 자연재해나 전산 오류에 대응하기 위해 시스템을 구축하다 보니 일시적으로 예산이 늘었다고 설명했다. 이후 정보보호 예산이 증가세인 점을 보면 보안을 마냥 소홀히 했다고 볼 수는 없다.
다른 카드회사들도 시스템 구축 등으로 비용이 두드러지게 증가한 연도 이후에는 정보보호 예산이나 비중이 줄어드는 모습이 일반적이다. 신한카드는 2022년부터 정보보호 투자 비중이 10.8%, 9.3%, 8.2%로 줄었는데 2022-2023년엔 시스템 개발 작업 등으로 편성 금액이 높았다. KB국민카드도 2022년 예산이 높았다가 이후 정보보호 투자 비중은 줄어들었다.
단순히 카드사 정보보호 예산 증가 추이만을 보기에는 보안 문제 관련 잘잘못을 따지기는 어렵다는 얘기인데 업계가 안심할 수만은 없다. 지난 4일 이재명 대통령은 용산 대통령실에서 열린 수석보좌관회의 모두 발언에서 통신사·금융사 등 해킹 사고가 반복되는 기업에 징벌적 과징금을 내리겠다고 발언했다. 보안 강화는 카드사를 비롯한 금융사들이 사활을 걸어야 하는 문제가 됐다는 얘기다.
이를 인식하듯 카드사를 계열사로 둔 은행들도 이달 들어 전사 차원에서 보안점검을 실시했다. 업계에 따르면 KB국민은행은 웹로직 보안 취약점 영향도를 분석했으며 신한은행도 롯데카드 공격에 활용된 IP와 취약점 등을 점검했다. 하나은행도 전자금융기반 시설 점검과 더불어 화이트해커가 참여한 채 모의 침투 테스트를 시행했다.
한편 업계 관계자는 더리브스와 통화에서 “투자 비용이 늘었다가 줄었다가 하면서 계속 업그레이드를 시켜나가는 과정으로 보면 될 것”이라며 “인프라 투자 비용이 왔다 갔다 하는 거지 계속 비용만 늘어날 것 같으면 회사가 망할 것”이라고 설명했다.
김은지 기자 leaves@tleaves.co.kr
