2017년 서버 보안작업중
패치 누락된 곳 해커에 뚫려
두차례 정보 털릴동안 깜깜
금융위, 보안실태 현장 검사
“위규 확인땐 최고수준 제재”
최장 6개월 영업정지 가능
징벌적 과징금 부과 가능성도
![조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 설명하고 있다. [이승환 기자]](https://pimg.mk.co.kr/news/cms/202509/18/news-p.v1.20250918.b223f828e293456cae7e7313d8d2bb65_P1.jpg)
롯데카드가 297만명의 고객 정보가 유출됐다고 18일 밝히며 금융당국의 고강도 제재를 피할 수 없게 됐다.
이번 해킹 사건의 배경엔 허술한 보안 관리가 있었다. 2017년 서버에 대한 보안을 강화하는 과정에서 보강 작업(패치)이 누락됐던 곳을 해커가 파고든 게 유출 사태의 직접적 원인이다.
롯데카드의 최초 피해 인지와 대응이 늦었고 초기 조사도 미진했다.
해커는 지난달 14~15일 악성코드를 통해 각종 정보를 빼갔는데 롯데카드는 지난달 26일이 돼서야 뒤늦게 감염 사실을 인지했다.
또 당국이 조사를 시작하고 나서 정보 유출 규모가 자체 점검 때보다 100배 이상 컸다는 사실이 드러났다. 롯데카드는 1일 1.7GB(기가바이트)에 달하는 정보가 유출됐다고 금융감독원에 보고했지만 당국 조사 과정에서 이보다 훨씬 많은 200GB의 정보가 빠져나갔다.
롯데카드는 “최초 해킹이 이뤄졌던 서버는 사용 자체가 거의 없어 관리가 잘 안됐던 부분”이라고 해명했다. 당국은 롯데카드의 사고 인지 시점과 관련해 회사 측이 ‘늑장 대응’을 한 것이 아닌지 조사 중이다.
금융위원회는 이날 정보 유출 관련 긴급대책회의를 열고 “현재 현장검사 중인 롯데카드에서 허술한 개인정보 관리 사항이 발견되면 최고 수준의 제재를 가할 방침”이라며 “모든 카드사에 대한 보안 실태를 점검하고, 전산 보안 관련 제도 개선에도 착수할 것”이라고 밝혔다.
현행 여신전문금융업법 시행령에 따르면 카드사가 개인정보 유출 등으로 소비자 보호에 미흡한 경우 최대 6개월의 영업정지를 당할 수 있다. 이 기간에는 신규 회원을 모집할 수 없다.
2014년 카드 고객 정보 유출 사태 당시에도 롯데카드는 3개월 영업정지를 받은 바 있다. 이번엔 더 강도가 높아질 수 있다는 게 업계의 평가다. 2014년엔 개인정보가 유출된 것이지만 이번엔 금융 거래가 직접적으로 가능한 카드번호, 비밀번호, CVC 등이 암호화도 되지 않은 상태로 유출됐기 때문이다.
향후 고강도 제재 핵심은 징벌적 과징금이다. 같은 방식으로 여러 번 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업에는 과징금을 가중해 매기는 조치다.
![조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. [이승환 기자]](https://pimg.mk.co.kr/news/cms/202509/18/news-p.v1.20250918.bd24b00625924ffdb49c2861a2fc049d_P1.jpeg)
이재명 대통령이 보안 사고를 반복하는 기업에 대해 징벌적 과징금을 부과하라는 지시를 내린 만큼 중징계와 함께 대규모 과징금을 부과받을 가능성이 있다.
당국은 디지털금융보안법 개정을 추진해 과징금 제재 기준을 마련할 것으로 보인다. 정부는 올해 초 디지털금융법 초안을 통해 금융 거래 정보가 누설되거나 보안 사고가 발생하면 금융사 전체 매출의 3%, 최대 200억원 한도에서 징벌적 과징금을 부과한다는 방침을 내비쳤다.
향후 입법 과정에서 과징금 범위가 조정될 수 있지만 올해 들어 유달리 일반 국민의 이용이 빈번한 금융사·통신사에 해킹 피해가 줄을 이었다는 점에 비춰보면 제재 강도가 강해질 공산이 크다.
이와는 별개로 더불어민주당 의원은 최근 개인정보보호법 개정안을 발의하며 징벌적 과징금 상한선을 전체 매출의 10%로 높이는 방안을 담았다.
이날 금융당국은 징벌적 과징금 외에도 해킹 재발을 막기 위한 보안 수준 개선 요구를 이행하지 않으면 이행강제금을 매기고, 금융사가 보안 계획을 당국에 제출하는 것을 의무화한 대책을 내놓았다.
소비자가 금융사의 보안 수준을 비교할 수 있도록 보안 공시 역시 강화한다. 예컨대 금융사는 보안 부문 예산과 조직, 인력 현황과 사고 발생 현황을 즉각 알려야 한다.
전문가들은 통신사 등 비금융기업과 금융사로 제각각 쪼개진 사이버보안 공조 체계를 재정비해야 한다고 입을 모은다. 현행 체제에선 금융사의 해킹·정보 유출 사건은 금융위가 관리하고 금융권 이외 민간 기업에서 발생한 보안 사고는 과학기술정보통신부가 담당하는 이원화된 감독 구조를 갖고 있다.
문제는 해킹 피해가 금융권과 비금융권을 가리지 않고 터지고 있지만 감독 권한이 나뉘어 있어 정보 공유와 초동 대응에 공백이 생길 수 있다는 점이다. 범부처 차원의 사이버보안 컨트롤타워를 마련해야 한다는 지적이 나오는 이유다.
기업을 겨냥한 해킹 사고는 올해 들어 급증하고 있다. SK텔레콤 유심 해킹과 예스24·SGI서울보증 랜섬웨어 감염 사태, KT 소액결제 피해 등 국민 생활에 큰 영향을 미치는 해킹 사고가 잇따라 발생했다. 과기정통부에 따르면 올 상반기까지 한국인터넷진흥원(KISA)에 접수된 사이버 침해 사고 신고 건수는 1034건으로 전년 동기(899건) 대비 15% 급증했다.
![[속보] 특검 “윤, 계엄논의 작년 3월부터 시작…원내대표도 인지 가능성”](https://pimg.mk.co.kr/news/cms/202509/03/news-p.v1.20250903.0f7ed213f6e645018311c6ea68869499_R.jpeg)
![생성형AI 끼고 상담하는 설계사…보험도 인공지능 혁신 진행 중[금융가 톺아보기]](https://pimg.mk.co.kr/news/cms/202509/04/news-p.v1.20250904.4e6ff2e473814eba97c10d2b6c1ee0e0_R.jpg)
English (US) · 