조 대표는 18일 오후 서울 중구 부평태평빌딩에서 기자회견을 열고 “카드업계는 조직이 마케팅과 프로모션에 치중돼 있어 고객 피해에 대한 책임이 상대적으로 약하다”며 “이번 사태를 계기로 롯데카드의 경영 체계를 전면적으로 재구축하겠다”고 말했다.
금융당국과 금융보안원에 따르면 롯데카드는 지난 7월 22일부터 8월 27일 사이 해킹 공격을 받아 297만 명의 회원 정보, 약 200GB(기가바이트) 규모의 데이터가 유출된 것으로 확인됐다. 이는 롯데카드가 당초 보고한 피해 규모보다 약 100배 큰 수준이다.
특히 이 중 28만 명의 정보는 카드번호와 비밀번호 일부, CVC 번호까지 포함돼 실제 결제에 악용될 위험이 큰 것으로 파악됐다.
◆ '키인' 거래에서는 부정사용 가능성... 롯데카드 "부정사용 우려 전혀 없어"
현재 금융당국은 이번 롯데카드 해킹 사태와 관련해 회사와 조좌진 대표이사 등 경영진에 대해 중징계를 검토 중인 것으로 전해졌다. 롯데카드는 영업정지가 불가피할 것으로 보이며, 조 대표 등 경영진은 업무정지나 금융사 재취업 제한 등 강도 높은 제재를 받을 가능성이 제기된다.
조 대표는 금융당국의 강도 높은 제재 여부에 대해 “과징금이나 중징계 등 금융당국 제재에 대해 생각할 단계가 아니며 생각해본 적도 없다”고 말했다.
롯데카드는 정보가 유출됐더라도 오프라인 결제에는 부정사용 우려가 전혀 없고, 온라인 결제 역시 SMS 인증이나 지문 인증 등 본인 인증 절차가 필요해 악용이 어렵다는 입장이다.
그나마 부정 사용 가능성이 있는 형태는 단말기에 카드 정보를 직접 입력하는 일부 ‘키인(KEY IN)’ 거래 방식이지만 현재까지 부정 사용 사례는 발견되지 않았다는 것이 회사 측 설명이다.
조 대표는 혹시 모를 키인거래 부정사용을 막기 위해 “FDS 시스템을 돌려서 평소와 중소 가맹점에서 평소와 달리 한 건당 고액 결제 건, 다수 결제 발생 건등 면밀히 모니터링을 하고 있는데 아직 발견된 사례는 없다”라며 “이외의 가맹점도 키인결제 시도되는 경우 선차단하고 승인 요구 시 회사 쪽으로 전달해 소명할 수 있도록 결제단계를 까다롭게 했다”고 설명했다.
이어 “항공사·보험사·코레일 등에서 이뤄지는 수기 특약 등 키인거래는 개인정보 확인과 로그인 절차를 거쳐 매치 카드로 결제되는 구조이므로 위험성이 없다”고 덧붙였다.
◆ 왜 해킹공격 17일 만에 인지했나? "흔적 발견됐지만 빠저나간 정보 확인할 수 없었어"
해킹 공격이 발생한지 17일이 지나 인지한 배경에 대해 롯데카드 측은 해커가 서버 안에 있는 파일을 압축해서 파일을 들고 나간 흔적은 발견했지만 압축 파일을 교모하게 다 지워버렸기 때문에 어떤 정보가 나갔는지를 확인할 수가 없었다고 해명했다.
조 대표는 “두 번째 해킹의 경우 해커가 아직 교묘한 형태로 지속적으로 짧은 공격을 하면서 파일을 계속 가져갔다. 해킹 파일을 확인해보니 대부분 암호화가 돼 있다. 그러다보니 암호화를 다시 풀어서 고객별로 매칭하는 정리정돈이 필요했다”고 설명했다.
해킹 피해를 입은 고객 카드를 선중지하지 못하는 이유에 대해서는 “OTT나 공과금 등 매달 결제되는 것들이 있다. 만일 카드 결제 중지로 결제 승인이 안 돼 연체되는 경우 고객 입장에서 불이익이 더 크다고 판단해 선제적 차단은 힘들다. 다만 해외 결제는 모두 승인을 차단한 상태다”라고 밝혔다.
최근 3년 간 정보보호 비용을 줄였다는 지적에 대해 롯데카드는 “2022년부터 2025년까지 정보보호 투자액은 각각 88억 원, 114억 원, 116억 원, 128억 원으로 매년 확대해 왔다”며 “인력 또한 15명에서 현재 30명으로 4년 새 두 배로 늘렸다”고 설명했다.
이어 조 대표는 “다만 이번 사태를 막기에는 충분하지 못했다는 점에서 반성의 여지가 크며, 그 책임은 전적으로 CEO에게 있다고 생각한다”고 말했다.
롯데카드는 지난달 13일 금융보안원으로부터 개인정보보호관리체계(ISMS-P) 인증을 취득했지만 약 열흘 만에 해킹 피해를 입었다.
이에 대해 조 대표는 “ISMS-P 인증은 막대한 시간과 비용, 노력이 필요한 절차로 롯데카드는 전업카드사 가운데 유일하게 국내외 보안 인증을 모두 갖췄다”며 “이는 기업의 보안 역량을 일정 수준 이상으로 평가받았다는 의미이지, 해커의 공격을 완전히 차단한다는 보장은 아니다”라고 말했다.
조 대표는 “해커의 공격을 차단하려면 해커의 입장에서 다양한 시도를 해보고 실제로 뚫리는지 여부를 검증하는 과정이 병행돼야 한다”며 “일부는 이미 진행해 왔지만 앞으로는 예산을 늘려 피해 방지에 더욱 힘쓰겠다”고 말했다.
◆ 금융당국은 '일벌백계' 예고... 신평사 "최대 800억 원 과징금 가능성" 제기
금융당국은 이날 오전 롯데카드 고객정보 유출 사태와 관련해 긴급 대책회의를 열고 일벌백계 원칙에 따른 최대 수준의 제재를 예고했다.
이찬진 금융감독원장은 지난 16일 열린 여신전문금융회사 최고경영자 간담회에서 "카드업권은 전 국민의 정보를 다루는 점에서 정보보호에 깊은 경각심을 가져야 한다"며 "대표들은 한 번의 사고도 용납하지 않는다는 제로 톨러런스(무관용) 원칙을 가지고 직접 사이버 보안 인프라를 근본적으로 재점검하는 등 정보보호 의무를 철저히 준수해달라"고 강조한 바 있다.
금융당국은 중대한 보안사고 발생 시 일반 과징금을 넘어서는 처벌을 부과하고 보안 개선 요구를 이행하지 않으면 이행강제금도 부과할 예정이다.
또한 정보보호최고책임자(CISO)의 권한을 강화하고, 금융사별 보안 수준 공시를 의무화해 소비자가 서비스 선택 시 참고할 수 있도록 할 방침이다.
해킹 사고 관련 징계 수위가 확정되기까지는 상당기간 소요될 전망인 가운데 신용평가사들은 이번 해킹사고로 롯데카드가 최대 800억 원 수준의 과징금을 부과 받을 가능성이 있다고 제기하고 있다.
나이스신평 측은 18일 발행한 보고서를 통해 지난 4월 발생한 SK텔레콤 고객정보 유출사고로 인해 SK텔레콤은 총 매출액의 1%인 1348억 원이 과징금으로 부과된 점을 고려할 때 지난해 약 2조7000억 원 가량 영업수익을 올린 롯데카드의 경우 예상되는 과징금 범위는 약 270억 원에서 800억 원으로 추정했다.
[소비자가만드는신문=이은서 기자]
