통신 이어 카드사까지 뚫려… “정보보호 시스템 전수조사를” [롯데카드 해킹사태]

세계일보

롯데카드 297만명 정보유출 파장

온라인 결제 서버에 악성 코드 심어
전체고객 3분의 1… 당초 신고 100배 ↑
롯데카드, 보안투자 3년 새 15% 줄여
“최대주주 MBK, 단기실적만 치중” 지적

금융위 “최대 수준 제재… 전수 점검”
정보 유출 과징금 최대 800억원 추정

롯데카드 해킹사고로 유출된 회원정보가 당초 신고된 피해규모를 훨씬 뛰어넘는 300만명에 육박하는 것으로 확인되면서 사용자들의 우려가 금융권을 넘어 산업 전반으로 확산하고 있다. 지난 4월 2324만명이 넘는 개인정보가 유출된 SK텔레콤을 시작으로 이번 롯데카드까지 업권을 불문하고 대규모 해킹사고가 잇따르고 있다. “온 나라가 다 털렸다”는 우려가 커지면서 범국가적으로 정보보호 시스템에 대한 전수조사와 보안체계 수립이 필요하다는 지적이 나온다.

조좌진 롯데카드 대표이사 사장이 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 대고객 사과문을 발표한 뒤 취재진 질문에 답하고 있다. 뉴시스

조좌진 롯데카드 대표가 18일 기자회견을 통해 밝힌 개인정보 유출 규모는 총 297만명으로, 전체 롯데카드 회원 960만명 중 3분의 1에 달한다. 롯데카드는 지난 1일 금융당국에 1.7GB(기가바이트) 규모의 해킹 피해를 당했다고 신고했다. 하지만 실제로는 100배가 넘는 200GB 규모가 유출됐으며, 미상의 해커가 온라인 결제서버(WAS)에 침입해 악성 프로그램을 설치하는 방식으로 정보를 유출한 것으로 파악됐다.

조 대표는 실제 신용카드 부정수급 가능성이 있는 고객은 주민등록번호 등이 유출된 28만명이라는 점을 강조했지만, 그간 각종 해킹사태로 국민의 개인정보가 유출된 상황을 고려하면 피해가 확산할 수 있다는 우려가 나온다. 음성적으로 개인정보가 거래되는 점을 고려하면 대규모 해킹으로 수집한 개인정보가 향후 범죄로 악용될 수 있기 때문이다.

화이트해커로 활동했던 한 가상자산거래소 보안 관련 임원은 “잇따른 해킹사태로 유출된 개인정보가 모이면 기술적으로 가상신용카드를 만들거나 복제폰을 만들 수 있다”며 “피해가 발생해도 어디에서 개인정보가 유출됐는지 특정하기도 어렵다”고 설명했다. 앞서 4월 SK텔레콤에서 2324만4000여명의 유심 인증키 등 개인정보가 유출됐고, 지난달엔 KT 회원 5561명의 가입자식별번호가 유출돼 무단 소액결제 피해가 발생했다. 금융권에서도 7월 SGI서울보증보험과 웰컴금융그룹에서 잇따라 해킹사고가 발생했다. KT 소액결제 사건의 경우 이날 피해자가 당초 278명에서 362명으로, 누적피해 금액도 2억4000만원으로 늘어났다.

롯데카드의 대규모 해킹 피해 원인으로 정보보호에 대한 기업의 투자 부족과 허술한 시스템이 지목된다. 금감원에 따르면 지난해 롯데카드가 네트워크 보안을 위해 지출한 정보 보호 투자액은 116억9000만원으로 3년 전인 2021년에 비해 14.7% 줄었다. 일각에선 최대주주인 사모펀드 MBK에 대한 책임론도 나온다. 사모펀드의 특성상 수익성에 치중한 나머지 정보보호 투자에 소홀했다는 것이다. 이찬진 금감원장은 지난 16일 여신전문금융업계 간담회에서 “(롯데카드 해킹사태가) 비용 절감을 통한 단기 실적에만 치중한 반면 정보 보안을 위한 장기 투자에는 소홀히 한 결과가 아닌지 뒤돌아봐야 한다”고 지적했다.

전문가들은 정보기술(IT), 금융 등 전 산업에 걸쳐 잇따르는 해킹 사태를 고려해 정부 차원의 대책이 필요하다고 입을 모았다.

염흥열 순천향대(정보보호학과) 교수는 “사전 예방 차원에서 대부분의 민감 정보들은 암호화 조치를 하는 게 좋은데 일부 카드 정보가 암호화가 안 되고 유출됐다”며 “파악된 취약점에 대한 대책을 마련하고, 신고절차와 보안법규 준수 여부도 확인해야 한다”고 말했다. 김승주 고려대 정보보호대학원 교수는 “금융만 털린 게 아니라 온 나라가 다 털렸다고 보는 게 맞다”며 “기업뿐만 아니라 범국가적으로 정보보호 시스템에 대한 전수조사를 해야 한다”고 강조했다. 김형중 고려대 정보보호대학원 교수도 “롯데카드를 인수한 사모펀드에서 보안에 적극적인 투자를 하기보다 비용을 절감하려 했을 거라고 짐작할 수 있다”며 “최근 다양하게 일어나는 해킹 등 사고를 고려하면 보안에 대한 인식과 관련 체계를 다시 한번 국가적으로 재정비해야 된다”고 말했다.

조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 대규모 고객정보 유출사태에 대해 대고객 사과를 한 뒤 취재진 질문에 답변하고 있다.연합뉴스

금융당국은 이날 긴급대책회의를 열고 향후 금융보안·정보보호 관련 전 금융권 재발방지 대책과 근본적인 제도 개선도 적극 추진하기로 했다. 금융위원회는 “롯데카드에 최대 수준의 엄정한 제재가 이뤄지도록 할 방침”이라며 “전체 카드사 보안 실태에 대한 금융감독원의 점검에 나설 것”이라고 밝혔다. 나이스신용평가는 “정보통신망법상 고객정보 유출 시 매출액의 최대 3%까지 과태료 부과가 가능하다”면서 롯데카드가 최대 800억원의 과징금을 부과받을 가능성이 있다고 밝혔다.

개인정보보호위원회도 이날 △시스템 취약점 제거 △주요 정보 암호화 확대 △개인정보 보호 분야 인력 마련 △사고 반복 기업에 대한 과징금 가중 등 ‘개인정보 안전 관리 체계 강화 방안’을 추진하기로 했다.