롯데카드 해킹은 '예고된 인재'…과징금 최대 800억

해당 취약점 지난 2023년 中 해커 조직 공격때도 쓰여
보안패치 누락·탐지 실패…"처벌 강화·근본대책 내놔야"

[이데일리 김국배 기자] 300만명에 가까운 고객 개인정보가 유출된 롯데카드 해킹 사고는 사이버 보안 불감증과 안이한 대처가 합쳐진 인재(人災)라는 지적이 나온다.

조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. (사진=연합뉴스)

이번 해킹의 시작은 ‘보안 업데이트 미비’였다. 롯데카드는 서버 관리에 미국 오라클의 ‘웹로직’를 사용해왔고, 2017년 보안 취약점이 발견돼 오라클에서 보안 업데이트를 긴급 배포했다. 그런데 롯데카드가 보안 패치를 업데이트하는 과정에서 일부 누락한 것이 해킹 통로가 된 것이다. 지난 2023년 중국 해커조직으로 추정되는 ‘샤오치잉’이라는 단체가 이 취약점을 써 한국 웹사이트를 공격한 적도 있지만 롯데카드는 미흡한 대응으로 불씨를 남겼다.

이뿐만 아니라 200기가바이트(GB)나 되는 데이터(개인신용정보)가 빠져나가는 동안 몰랐다는 점도 문제로 지적된다. 한 보안 전문가는 “200GB라는 대량의 데이터 전송이 일어나는데 몰랐다는 것은 모니터링·통제가 부실하다는 방증”이라고 말했다. 롯데카드 측은 “200GB 데이터를 짧게 잘라 4700개 정도로 가져갔다”고 설명했지만, 부실한 대응책임을 피하기 어려워 보인다. 또 금융당국 조사 과정에서 밝혀진 실제 유출 규모(200GB)가 애초 신고한 규모(100GB)의 100배 이상이라는 점은 롯데카드가 유출 내용을 자체적으로는 제대로 파악조차 못 한 것을 보여주는 대목이다. 롯데카드는 해킹 사고 신호 후 보름 넘게 홈페이지에 “정보 유출은 없다”는 공지를 띄워놓기도 했다.

일각에선 롯데카드가 사모투자펀드(PEF) 운용사인 MBK파트너스에 인수된 후 수익 극대화에만 치중하면서 보안 투자에 소홀한 것 아니냐는 비판도 제기되고 있다. 금융당국에서조차 “매각하려는 회사에 보안 투자를 했겠느냐”는 말이 나온다. 강민국 국민의힘 의원실이 금융감독원으로부터 제출받은 자료에 따르면 롯데카드의 IT 임원은 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권이다.

2차 피해 우려가 커지는 가운데, 롯데카드에 얼마의 과징금이 매겨질지도 관심이 쏠린다. 신용정보법상으론 롯데카드처럼 해킹 등으로 개인신용정보를 유출하면 과징금 한도를 50억원으로 제한했지만, 개인정보보호법에선 전체 매출의 최대 3%까지 과징금을 물릴 수 있다. 롯데카드의 작년 매출은 2조 7000억원 수준이다. 정부가 개인정보보호법에 근거해 제재에 나서면 최대 800억원대 과징금을 부과받을 수 있단 계산이 나온다. 지난 4월 고객 2300만명의 개인정보 유출로 논란이 된 SK텔레콤은 개인정보보호법 위반으로 매출의 1% 수준인 1300억원대 과징금이 부과받았다.

금융당국은 롯데카드 해킹 사고를 계기로 금융사에 중대한 보안 사고가 발생하면 ‘징벌적 과징금’을 부과하는 방안을 도입하겠다고 밝힌 상태다. 정부가 보안 시스템 개선을 요구했는데 제대로 이행하지 않는 금융사에는 ‘이행 강제금’도 부과하기로 했다.

다만 사후 처벌 강화만이 아니라 더 근본적인 대책이 내놔야 한다는 지적이 나온다. 한 보안 전문가는 “더는 개업 기업 단위에서 대처하기 어려움이 있다”며 “해킹 사건을 특정 기업만의 문제로 치부하지 말고 국가적 사이버 위기로 인식해 대응해야 한다”고 말했다.