- "현재까지 확인된 부정사용은 없으나, 피해 발생시 전액 보상 등 소비자 보호 조치 면밀히 관리·감독"

- 정보보호·전산보안 위규사항 낱낱이 파악해 일벌백계 원칙하에 엄정 제재, 전 금융권 점검 및 근본적 제도개선 방안 강구

[디지털데일리 박기록기자] 금융위원회는 18일 정부서울청사 금융위 대회의실에서 권대영 부위원장 주재로 롯데카드 정보유출과 관련해 관계기관, 전문가 등과 함께 구체적인 유출상황을 공유하고 이에 대한 대응방안을 논의했다고 밝혔다. 이날 회의에는 롯데카드 조좌진 대표도 참석했다.

이날 회의에서 금융위는 ▲국민들이 불안해하지 않도록 롯데카드가 정확한 정보유출규모 등 피해사실을 신속하게 알리고, ▲ 정보유출에 따른 피해 방지방안과 피해 발생시 면밀한 소비자 보호방안 실행 ▲ 금융보안·정보보호 미흡사항 등에 대한 철저한 조사를 통한 엄정한 제재 ▲금융보안·정보보호 관련 전 금융권 재발방지 대책과 근본적인 제도개선도 적극 추진하기로 했다고 밝혔다.

금융위에 따르면, 앞선 금감원·금보원 조사 과정에서 당초 신고된 1.7GB를 포함해 총 200GB의 정보 유출이 있었음이 확인됐다. 미상의 해커가 롯데카드의 온라인 결제서버(WAS)에 침입해 악성 프로그램(웹쉘)을 설치해 지난 8월14~8월 27일 기간 중 총 200GB의 정보를 유출한 것으로 밝혀졌다. 웹쉘(Web Shell)은 해커가 웹 서버를 원격으로 제어하기 위해 설치하는 악성 코드를 말한다.

롯데카드 측은 금융보안원이 200GB 정보유출 정황을 확인한 즉시부터 해당 정보에 개인신용정보가 포함됐지 확인 작업에 착수했으며, 확인 작업이 완료된 다음 날인 18일 금융위원회 및 금융감독원에 해당 사실을 공식적으로 신고하고 각 개별 고객들에 안내를 개시했다.

유출된 정보 내에는 총 296.9만명의 개인신용정보가 포함됐으며, 이 중 약 28.3만명(9.5%)은 카드비밀번호와 CVC도 유출된 것으로 파악됐다. 다만, 롯데카드 측에서 사고를 확인한 즉시부터 부정결제 방지를 위한 강화된 본인인증 조치 등을 취해 현재까지 부정결제 피해사실은 확인된 바 없으며, 롯데카드 고객센터에 부정사용으로 신고된 내역도 없는 것으로 나타난 바 있다.

특히 금융위는 이번 해킹 사고와 관련해, 개인 신용정보 관리·정보보안 등 관련 위규사항에 대해서는 금감원 검사를 통해 위규사항을 낱낱이 파악해 엄정한 조치를 취할 예정이라고 강조했다.

이와관련해 "현재 웹서버 관리, 악성코드 감염 방지 등 사태 전반에 대한 면밀한 검사가 진행중에 있으며, 허술한 개인정보·정보보안 관리 사항에 대해서는 최대 수준의 엄정한 제재가 이뤄지도록 할 방침"이라고 밝혔다.

아울러 이러한 사태가 재발하지 않도록 금융권 보안관리 태세 긴급점검, 전산보안 관련 근본적 제도개선도 즉시 착수한다.

앞서 초동 조사 과정에서 확인된 보안 취약점은 지난 2일 전 금융사에 전파해 자체 점검을 주문한 바 있으며, 추가 확인되는 취약사항 등도 즉시 전파해 방비토록 할 계획이라고 밝혔다.

금융회사 보안관리 체계를 근본적으로 강화하기 위한 제도개선 과제도 신속히 추진한다. 특히 보안 위규행위에 대한 금융사의 사전적 경각심 강화 및 사후적 일벌백계 차원에서 중대한 보안사고 발생시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하고, 금융회사가 정부의 보안수준 개선요구를 제대로 이행하지 않은 경우 지속적인 이행강제금을 부과하는 등으로 금융보안 관련 긴장감 있는 관리가 이뤄지도록 할 것이라고 밝혔다.

또한, 정보보호최고책임자(CISO)가 주도적으로 보안강화를 할 수 있도록 CISO의 권한 강화에도 힘쓰겠다고 덧붙였다.

금융위원회 권대영 부위원장은 “보안투자를 비용이나 가외업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있는 만큼, CEO 책임하에 전산 시스템 및 정보보호체계 전반을 전면 재점검하고, 불가피한 침해 발생시에도 즉시 시스템 복구 및 소비자 피해 구제가 이뤄지는 만반의 태세를 갖춰줄 것”을 주문했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -