최근 해킹 공격을 받은 롯데카드에서 고객정보 296만건이 유출되고, 28만여명의 카드 비밀번호와 CVC(카드 뒷면 보안코드)가 빠져나간 것으로 확인됐다. 단순한 개인정보 유출을 넘어 온라인 결제의 '최종 보안키'인 CVC까지 유출되면서 금융권 전반의 보안 신뢰성에 빨간불이 켜졌다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

롯데카드는 부정사용 방지를 위한 대책과 함께, 부정거래 발생 시 피해액 전액 보상과 최대 10개월 무이자 할부서비스 제공을 약속했다. 그러나 피해 규모와 사태의 심각성에 비해 고객 불안을 해소하기엔 역부족이란 지적이 나온다. 정부는 '징벌적 과징금' 가능성까지 언급하며 최대 수준의 엄정한 제재를 예고했다.

금융위원회는 18일 긴급대책회의를 열고 롯데카드에 대한 현장조사와 함께 전 금융권 보안 점검을 지시했다. 금융감독원과 금융보안원이 합동으로 원인을 규명하고, 관리 소홀이나 신고 지연이 드러날 경우 최대 수준의 제재를 가하겠다는 입장이다.

금융당국에 따르면 이번 사고는 8월 중순 롯데카드 전산망이 해킹을 당해 발생했다. 최초 신고에서는 유출 용량이 1.7GB에 불과하다고 밝혔으나, 조사 결과 실제 유출된 데이터는 약 200GB에 달했다. 이 과정에서 296만9000명분의 개인신용정보가 빠져나갔고, 28만3000명의 고객은 생년월일, 전화번호, 카드번호, 비밀번호, 유효기간에 더해 CVC까지 노출됐다.

노출된 개인정보가 다른 범죄단체에 팔려 악용될 가능성이 제기되는 한편으로, CVC가 노출된 경우에는 부정거래 등 직접 피해도 우려된다. 온라인 결제에서 CVC는 일종의 '최종 보안 열쇠' 역할을 하기 때문이다. 카드 실물이 없어도 번호·유효기간·CVC만 알면 일부 온라인 가맹점에서는 키인(Key-in) 방식으로 결제가 가능하다. 자동결제나 구독서비스 가입 등에 악용될 가능성도 존재한다.

롯데카드 측은 CVC가 유출된 28만명의 카드에서도 현재까지 부정 사용 사례는 확인되지 않았다고 밝혔다. 이들에게는 문자와 전화 등을 통해 카드 재발급과 비밀번호 변경을 유도하고 카드를 재발급하면 다음해 연회비를 면제하기로 했다.

또 정보가 유출된 모든 고객을 대상으로 부정거래가 발생할 경우 2차 피해까지 전액 보상할 방침이라고 밝혔다. 카드 사용 내역 알림 서비스, 금융피해 보상 서비스인 크레딧 케어를 연말까지 무료제공하고 297만 고객에게는 최대 10개월 무이자 할부서비스도 지원하기로 했다.

하지만 이같은 보상책으로는 고객의 우려를 가라앉히기에는 역부족이라는 지적이 나온다. 더구나 이번 해킹 사고는 롯데카드가 2017년에 발견한 온라인 결제서버 취약점에 보안패치 업데이트를 누락하면서 발생한 것으로 파악됐다. 8년 전에 제대로 대응했다면 막을 수 있는 사고였다는 것이다.

[사진 | 뉴시스]

<이미지를 클릭하시면 크게 보실 수 있습니다>

이날 대책회의를 주관한 권대영 금융위 부위원장은 "보안은 소비자 보호와 금융 신뢰성을 지키기 위한 가장 기본적이고 핵심적인 책무"라면서 "보안투자를 비용이나 가외업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있다"고 지적했다.

이에 따라 금융위는 롯데카드가 실효성 있는 소비자 보호조치를 적극 시행하도록 관리감독하는 한편, 금융감독원 검사를 통해 개인 신용정보 관리와 정보보안 관련 위규사항이 있는지 파악해 최대 수준의 엄정한 제재를 내릴 방침이다.

아울러 중대 보안사고 발생시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하는 방안도 검토하기로 했다. 이에 따라 '일벌백계' 차원에서 정부가 이번 롯데카드 사태에 징벌적 과징금을 부과할지 여부에도 관심이 쏠리고 있다.

조봄 더스쿠프 기자

spring@thescoop.co.kr