금융당국·롯데카드의 발표 등을 종합하면 롯데카드는지난 8월 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견했다. 이어 8월 31일 1.7기가바이트(GB)분량의 정보가 유출됐다는 사실을 확인한 롯데카드는 다음날인 9월 1일 오전 금융당국에 침해사실을 보고했다.
9월 2일부터 진행된 금융감독원과 금융보안원의 현장조사 결과, 처음 해킹 사고가 발생한 시점은 8월 14일이었다. 사측은 월말이 되어서야 뒤늦게 사태를 파악했던 것이다. 피해 규모도 당초 신고된 1.7GB를 포함해 200GB의 정보가 유출된 것으로 밝혀졌다.
전체 고객 960만여 명 중 약 3분의 1에 가까운 297만 명의 개인신용정보가 유출됐다. 또 297만 명 중 약 28만 3000명의 카드비밀번호와 CVC도 유출된 것으로 파악되는데, 카드 부정사용으로 이어질 가능성이 있다. 다만, 금융당국은 롯데카드 측이 사고를 확인한 즉시부터 부정결제 방지를 위한 강화된 본인인증 조치 등을 취해 현재까지 부정결제 피해사실은 확인된 바가 없다고 밝혔다.
롯데카드의 매각을 추진하고 있는 최대주주 MBK파트너스가 보안 투자를 소홀히 한 것 아니냐는 지적이 나왔다. 롯데카드의 2024 지속가능경영보고서에 따르면 전체 정보기술(IT) 예산에서 정보보호 투자 비중이 2021년 12%에서 2023년 8%로 감소한 것으로 나타났다.
이와 관련, 롯데카드 관계자는 “해킹 당한 흔적을 인지한 즉시 금융당국에 신고했으며 200GB 정보 추가 반출 정황은 금융당국 현장 조사 과정에서 발견된 것이다. 축소 발표는 사실이 아니다”라며 “2022년 89억 원에서 2025년 128억 원으로 정보보호 집행 예산은 꾸준히 증가했다”고 설명했다.
롯데카드는 고객정보 유출 고객 전원에게 정보 유출로 인한 부정거래 발생 시 전액 보상하고 연말까지 △카드 알림 서비스 무료 제공 △크레딧 케어(금융피해 보상 서비스) 무료 제공 △금액 제한 없이 무이자 최대 10개월 할부 제공 등 지원 및 보호조치 방안을 마련했다. 부정 결제 가능성이 있는 28만 명에게는 카드 재발급 시 다음 연도 연회비가 면제된다. 또, 향후 5년간 1100억 원의 정보보호 관련 투자를 집행해 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 방침이다.
임기가 6개월 남은 조좌진 롯데카드 대표이사의 거취에도 관심이 쏠린다. 조좌진 대표는 롯데카드가 MBK파트너스에 인수된 이후 2020년 3월 롯데카드 대표이사에 취임했다. 2022년 3월, 2024년 3월 연임에 성공했다. 현재 임기는 2026년 3월 29일까지다.
조좌진 대표는 사태 수습 뒤 사임 가능성도 내비쳤다. 조 대표는 9월 18일 해킹 사고 브리핑에서 “대표이사인 저를 포함해 연말까지 대대적인 인적 쇄신을 완료하겠다. 대표직 사임을 포함해 시장에서 납득할 만한 수준의 쇄신이 있을 것”이라며 “앞으로 고객 피해를 제로화하고, 고객 분들의 불편을 최소화하는 임무가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다할 것을 약속 드린다“고 말했다.
금융당국은 이번 해킹 사건을 면밀하게 들여다보고 법 위반 사실 발견 시 엄정하게 처벌을 내리겠다는 입장이다. 권대영 금융위원회 부위원장은 9월 19일 열린 ‘해킹 대응을 위한 과학기술정보통신부-금융위 합동 브리핑’에서 “2014년 카드 3사 정보유출 사건이 있었는데, 그때도 롯데카드가 있었다”며 “그동안 보안에 소홀했거나 제대로 지키지 않은 것이 있을 경우 엄중히 제재할 것”이라고 말했다.
과징금은 최대 800억 원대로 거론된다. 신용정보법상 롯데카드 해킹처럼 개인신용정보를 분실·도난·누출·변조·훼손당한 경우에는 과징금 한도가 50억 원으로 제한된다. 하지만 신용정보 외에 주민등록번호 등 개인정보가 유출됐기 때문에 개인정보보호법에 따른 과징금을 별도로 부과할 수 있다. 매출액의 3%까지 과징금을 부과할 수 있는데, 롯데카드의 지난해 매출(약 2조 7000억 원)을 고려하면 최대 800억 원까지 가능하다는 계산이다.
신뢰도 하락은 불가피할 것으로 전망된다. 한국신용카드학회장인 서지용 상명대학교 경영학부교수는 “롯데카드가 공식적으로 사고에 대한 책임을 인정하고 피해액 전액 보상을 약속했지만, 피해 보상 방식이 실질적 피해 입증에 의존하는 등 현실적 한계를 갖고 있다”며 “개인정보 유출로 인한 잠재적 피해나 불안감에 대한 우려는 여전히 제기될 수밖에 없어 보인다”고 말했다.
이와 관련, 롯데카드 관계자는 “관계 기관의 조사에 적극 협력해 사고 원인을 명확히 규명하고, 문제 해결에 책임을 다하겠다”며 “이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고, 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼겠다”고 밝혔다.
노영현 기자 nogoon@ilyo.co.kr
