롯데카드의 개인정보 유출 사고는 자체 규정마저 어기며 발생한 예견된 인재였다.
22일 기준, 이번 사고는 지난달 14일 해킹 공격으로 시작됐고, 롯데카드는 지난 1일 금융 당국에 1.7GB 규모의 데이터 유출을 신고했으나 조사 결과 약 200GB가 유출된 것으로 드러났다.
조좌진 롯데카드 대표는 지난 18일 기자회견에서 “패치를 업데이트해서 보강하라는 안내가 2017년 내려왔다”, “여러 서버에서 48개의 패치를 업데이트를 했어야 했는데 1개를 놓쳤다. 그 작은 부분을 놓친 것은 분명히 인재라고 생각한다”라고 인정했다.
금융당국과 금융위원회 관련 회의자료는 지난 21일 제출됐고, 금융위원회 권대영 부위원장은 오는 23일 전 금융권 CISO를 소집해 보안 관리 강화를 당부할 예정이다.
롯데카드는 전체 회원 297만 명의 개인정보가 유출된 이번 사고의 보상안으로 ▷10개월 무이자 할부 제공 ▷내년 연회비 면제 ▷금융피해 보상서비스(크레딧케어) 및 카드사용 알림서비스 무료 제공 등을 내놨다. 그러나 내년 연회비 면제 혜택은 CVC(카드 뒷면 보안번호)까지 유출된 약 28만 명에게만 해당된다고 밝혔다.
피해 고객들은 보상안에 강하게 반발하고 있다.
롯데카드 개인정보 유출 소비자들이 모인 온라인 커뮤니티에는 3,400여 명이 넘는 회원들이 집단소송 참여 의사를 밝힌 상태이며 참여 의사 표명은 가파르게 늘고 있다.
한 회원은 “수년간 연회비를 면제해 줘도 될까 말까인데 어느 부분이 보상인 거냐”고 비판했고, 다른 한 회원은 “불안해서 해지하려는 고객에게 무이자 할부 10개월이 무슨 의미가 있느냐”고 항의했다.
롯데카드는 피해 구제 방안으로 전액 보상 방침을 밝히며 “이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상할 것”이라고 선언했고 “2차 피해도 연관성이 확인되면 전액 보상하겠다”라고 덧붙였다.
그러나 소비자들은 실제로 혜택을 체감할 수 있는 고객이 극히 일부라는 점을 문제로 제기하고 있다.
금융감독원이 국회 정무위원회에 제출한 자료에 따르면 롯데카드는 자체 보안사고대응지침에서 정보보호 주관부서가 “보안위협 정보의 식별과 보안패치의 최신화 등을 포함한 보안사고 예방 활동을 수행해야 한다”고 규정했음에도 관련 패치를 최신화하지 않았다.
롯데카드가 사용 중이던 웹 서버 관리 프로그램인 오라클 ‘웹로직’은 2017년 보안 취약점이 발견돼 긴급 보안 업데이트가 발표된 바 있으나 롯데카드는 일부 패치를 적용하지 않아 공격에 노출됐다.
최근 5년간 실시한 IT 감사도 지난해에만 IT 보안 부문 감사를 시행한 데 그쳤고 자체 평가에서 ‘셀프 합격점’을 준 정황이 나타나 내부통제 실패라는 비판이 제기되고 있다.
또한 2023년 중국 해커 조직으로 추정되는 공격에서 동일 취약점이 이용된 사례가 보고된 점도 지적됐다.
금융당국은 이번 사태를 계기로 CISO 권한 강화를 포함한 감독·통제 체계 보완과 함께 보안 사고가 반복되는 금융사에 대해 징벌적 과징금 부과를 검토하고 있어 엄정한 조치가 예고되고 있다.
한편 이번 사고는 자체 규정 준수 여부와 내부통제의 실효성 문제를 동시에 드러내면서 금융권 전반의 보안관리 체계 점검을 촉구하는 계기가 되고 있다.