고객 297만명의 개인정보가 유출된 롯데카드 해킹 사태는 정보보안에 소홀한 금융권의 안일한 대응이 가장 큰 문제로 꼽힌다. 2017년에 처음 발견된 취약점을 업데이트하는 과정에서 문제가 발생한 경로를 수년간 누락해 온 것은 물론이고 금융당국의 조사 사흘만에 발견된 유출 사실을 자체적으로 사전 파악조차 하지 못할 정도인 것으로 드러났다. 금융당국에서는 보고 지연 등 각종 위규 사항을 살펴 강도높은 책임을 물을 예정이다.

금융감독원과 금융보안원은 롯데카드가 지난 1일 금융당국에 침해사고를 신고한 직후인 2일 즉각 합동 조사에 들어갔다. 금융보안원은 조사 개시 3영업일째인 지난 4일 200기가바이트(GB)에 이르는 추가 정보 유출 정황을 확인했고, 10일부터는 유출 정보로 추정되는 로그 기록을 발견해 일주일간의 유출 정보를 분석을 거쳐 최초 유출 정보량과 내용을 확인했다.

롯데카드는 지난달 12일 롯데카드 온라인 결제 서버에 공격자가 최초 침입 이후 보름만인 15일에야 악성코드 감염을 최초 확인했다. 그리고 이후 지난달 31일 1.7GB의 유출 사실을 확인하고도 “개인정보 유출 사실은 파악되지 않았다”는 부족한 초동조치를 취한 후에야 뒤늦게 금융당국에 침해 사실을 신고했다.

조좌진 롯데카드 대표와 임원들이 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고 관련 대고객 사과를 하고 있다. 왼쪽부터 김성식 경영관리본부장, 이창주 리스크관리본부장, 한정욱 Digi-LOCA본부장, 조 대표, 최재웅 마케팅본부장, 정동훈 전략본부장, 임정빈 영업본부장, 최용혁 정보보호실장. 이동근기자 foto@etnews.com

<이미지를 클릭하시면 크게 보실 수 있습니다>

침해 경로는 롯데카드의 부족한 정보보호 역량을 더욱 여실히 드러낸다. 이번에 유출된 고객정보는 외국계 간편결제 관련 업데이트되지 않은 패치가 침입 경로가 됐다. 이 경로를 통해 미상의 해커가 롯데카드의 온라인 결제서버(WAS)에 침입해 악성 프로그램(웹쉘)을 설치해 지난달 14일부터 27일간 총 200GB의 정보를 빼낸 것이다.

조좌진 롯데카드 대표는 “페이사를 통한 거래가 계속 없었기 때문에 업그레이드해야 하는지를 파악할 수가 없었다”면서 “트랜잭션이 전혀 없어서 존재를 몰랐다”고 설명했다. 그러면서 수익성에만 골몰해 보안 투자가 소홀했다는 지적에 대해서 만큼은 적극적으로 반박했다. 향후 금융당국의 추가 조사에 따라 드러날 위규 사항과 관리 소홀을 최대한 방어하려는 논리로 풀이된다.

롯데카드의 사고 인지 시점에 대한 조사도 이뤄고 있다. 8월경 발생한 사고가 9월이 돼서야 신고됐을 만큼 늑장 대응이 문제가 되고 있어서다.

금융당국에서도 이번 해킹 사태가 정보보호·전산보안 규칙 위반과 관리 소홀에서 비롯됐다는 사실을 배제하지 않는 분위기다. 이날 금융위원회는 권대영 부위원장 주재로 롯데카드 정보유출과 관련해 관계기관, 전문가 등과 함께 구체적인 유출상황을 공유했다.

권 부위원장은 “보안투자를 비용이나 가외업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있다”면서 “CEO 책임하에 전산 시스템 및 정보보호체계 전반을 전면 재점검해야 한다”고 강조했다. 이어 전체 카드사 보안 실태에 대한 금감원 점검도 즉각 개시할 계획이다.

징벌적 과징금 등 근본적인 제도 개선도 추진한다. 금융당국의 보안수준 개선요구 및 미이행시 이행강제금 도입하고, 보안확보 의무 위반으로 보안사고 발생시 징벌적 과징금을 부과하는 등의 제도 개선을 추진할 계획이다.

신용등급 강등 등 각종 재무적 타격도 불가피해 보인다. 나이스신용평가는 이날 브리핑 직후 레포트를 통해 롯데카드의 영업수익 약 2조7000억원을 기준으로 1~3% 수준의 과징금이 부과된다면 그 범위가 대략 270억∼800억원 수준이 될 것으로 전망했다. 나신평은 “이번 사고가 롯데카드의 실질 회원 수 등 회원기반 변화에 미치는 영향 등을 모니터링할 계획”이라면서 “유의미한 변화가 나타났다고 판단할 경우 신용등급에 반영할 수 있다”고 밝혔다.

류근일 기자 ryuryu@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]