[디지털데일리 김보민기자] 금융당국이 최근 롯데카드에서 발생한 해킹 및 정보 유출 사고와 관련해 엄정한 제재를 하겠다는 입장을 밝혔다. 징벌적 과징금을 도입하고, 정보보호최고책임자(CISO) 권한 강화 등 금융권 보안 체계 전반에 대한 대책을 강구하겠다는 취지다.

◆ 사전·사후대책에 총력…2차 피해는 "아직 없다"

금융위원회는 19일 서울 종로구 정부서울청사에서 과학기술정보통신부와 합동으로 해킹 대응을 위한 공동 브리핑을 진행했다. 금융위는 최근 롯데카드에서 발생한 정보 유출 사고와 관련해 그간의 진행 경과와 계획을 발표했다.

권대영 금융위 부위원장은 "정부는 롯데카드의 소비자 보호 조치가 차질 없이 이뤄지도록 관리 감독하고, 조사 결과에 따라 위규사항을 확인할 경우 일벌백계 차원에서 엄정한 제재를 취할 방침"이라고 밝혔다.

이어 "9월1일 침해사고 신고 즉시 롯데카드 측에 강도 높은 소비자 보호 조치를 주문했고, 유사 침해 방지를 위한 정보를 전 금융권에 전파했다"며 "금융감독원과 금융보안원도 9월2일부터 현장 조사에 착수해 정보 유출 경위와 내용, 보안 위규 사항을 파악 중"이라고 밝혔다.

현재까지 유출된 정보에 따른 2차 피해는 없다고 선을 그었다. 권 부위원장은 "롯데카드도 사고 인지 초기부터 부정 사용 시 선보상, 추가 보안 인증, 카드 재발급 등 소비자 보호 조치를 취했다"며 "현재까지 부정 사용 피해는 나타나지 않은 상황"이라고 강조했다.

조사에 따르면, 미상의 해커는 롯데카드의 온라인 결제 서버에 침입해 당초 신고된 1.7기가바이트(GB)를 포함해 총 200GB 정보를 유출했다. 롯데카드는 지난 17일 약 297만명의 개인 신용정보 유출을 확인했고, 이 가운데 269만명은 유출 정보 만으로 부정 사용 가능성이 없다고 보고 있다. 남은 28만명의 경우, 단말기에 카드 정보를 직접 입력하는 키인(key-in)의 경우 일부 가맹점에서 취약점이 제기된 만큼 이상거래탐지시스템(FDS) 등을 강화해 이상 결제 행위 등을 탐지하고 있다.

다만 탐지 시스템과 별개로, 이미 결제가 완료된 건에 대한 사후약방문식 방문 만으로 충분하지 않다는 의견도 제기된다. 이름과 같은 중요 개인정보가 유출되지 않더라도 카드인증코드 'CVC'와 카드번호 등을 조합해, 실물 카드 없이도 결제가 가능할 수 있다는 우려도 나온다.

이와 관련해 권 부위원장은 "FDS 시스템의 경우 해외에서 갑자기 국내와 다른 시스템에서 결제가 일어나면 반드시 확인 절차를 거치게 돼 있다"며 "일례로 고객에게 전화해 '해외에 있냐'고 묻거나, 문자 및 얼굴인식 등 추가 인증을 하는 방식"이라고 말했다. 그러면서 "사전, 사후 모두 막고 있다"고 덧붙였다.

일각에서는 롯데카드가 ISMS-P 보안 인증을 받고도 사고가 난 것에 의문을 제기하고 있다. 이와 관련해 권기남 금융보안원 사이버대응본부장은 "ISMS-P는 정보보호관리체계를 인증하는 제도로, 인증을 받았다고 해서 악성코드나 해킹에 완벽히 안심할 수 있다고 말하기 어렵다"며 "정보보호 관리체계 인증으로만 봐야 하고, 인증을 받은 기업들도 언제든지 해킹이 가능하다"고 설명했다.

◆ 2014년 카드3사 해킹 되풀이…소홀한 '보안 투자' 도마에

보안업계에서는 이번 사고가 지난 2014년 금융권을 강타한 카드3사 정보유출 사고를 재현했다는 평가가 나온다. 당시에도 롯데카드는 사고 기업으로 이름을 올렸다.

권 부위원장은 "롯데카드가 (지난 10여년간) 보안에 소홀히 했는지, 제도를 제대로 지키지 않았는지에 대한 여부를 금융감독원에서 확인 중"이라며 "확인 후 부족한 부분이 있다면 엄중하게 제재하겠다는 방침을 갖고 있다"고 말했다.

롯데카드 뿐만 아니라 국내 금융권 전반의 보안 체계를 개선하겠다는 방침도 밝혔다. 권 부위원장은 "디지털화와 인공지능(AI)으로 (기술 흐름이) 가는 과정에서 롯데카드 문제가 발생한 것을 생각해 보면, 해킹이 고도화되고 있다고 할 수 있다"며 "금융권은 지난 10여년 간 큰 사고가 없었기 때문에 전체 예산 중 정보기술(IT)·보안 예산과 관련 인력 및 조직을 갖추는 것을 자율적으로 하도록 유도했는데 소홀히 된 측면이 있는 것 같다"고 평가했다.

정부 차원의 대책도 본격화될 것으로 내다봤다. 권 부위원장은 "보안 사고가 발생할 경우 사회적 파장에 상응하는 엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진할 것"이라며 "또한 금융회사가 상시적으로 보안 관리에 신경 쓸 수 있도록 CISO 권한 강화, 소비자 공시 강화 등 대책을 강구하겠다"고 말했다.

특히 최고경영자(CEO) 책임과 CISO 권한을 강조했다. 권 부위원장은 "금융회사가 자체적인 보안 계획을 수립해 CEO 책임 하에 관리하고, CISO가 독립적인 권한을 가지고 자료를 요구하는 방식"이라며 "IT, 그리고 AI 강국으로 가기 위해서는 (기술) 활용도 잘해야 하지만 보안도 중요하기 때문에 이러한 측면으로 생각 중"이라고 부연했다.

한편 롯데카드는 전날 서울 중구 부영태평빌딩에서 기자회견을 열고 대국민 사과를 했다. 조좌진 롯데카드 대표는 "고객 여러분과 유관기관 여러분께 심려를 끼쳐 진심으로 죄송하다"며 이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상하고, 2차 피해도 연관성이 확인되면 전액 보상하겠다"고 밝혔다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -